Lo spam nel mese di Ottobre 2013

Transcript

1 Lo spam nel mese di Ottobre 2013 Tat jana Šerbakova Marija Vergelis Sommario Le peculiarità del mese... 1 Lo spam «ultraterreno»... 2 Lo spam di Capodanno... 4 Siria ed «nigeriane»... 5 Magia nello spam... 7 Gadget con il logo aziendale... 8 Ripartizione geografica delle fonti di spam... 9 Allegati nocivi rilevati nel traffico di posta elettronica Peculiarità e tratti caratteristici dello spam nocivo di ottobre Phishing Conclusioni Le peculiarità del mese Nel mese di ottobre 2013 gli spammer hanno continuato a sfruttare attivamente i nominativi di numerose società di primaria importanza allo scopo di distribuire pericolosi programmi nocivi - sotto forma di file ZIP - nelle box degli utenti. Sono state inoltre da noi individuate, all'interno del traffico di posta elettronica, varie campagne di spam ispirate a tematiche piuttosto inusuali, volte a promuovere servizi alquanto singolari ed "esotici": filtri d'amore, incantesimi per ottenere avanzamenti nella carriera professionale e vari altri tipi di magia, sia bianca che nera. E' poi considerevolmente aumentato il numero dei messaggi di spam recanti le più disparate offerte per l'inserimento dei loghi aziendali su oggetti e souvenir di ogni genere: rispetto al passato, la gamma degli articoli promozionali proposti attraverso tale tipologia di spam è risultata notevolmente ampliata. Simili mailing di massa sono stati in pratica condotti in tutte le lingue costantemente monitorate dai nostri esperti. Nel mese oggetto del presente report, lo spam "festivo", ispirato, come al solito, alle tradizionali tematiche suggerite dalle più importanti ricorrenze e celebrazioni stagionali, è stato principalmente dedicato alla festività di Ognissanti, così come a Natale e Capodanno, ormai prossimi nel calendario. Segnaliamo, infine, come gli spammer abbiano insistentemente rivolto le loro attenzioni ai più importanti avvenimenti politici che si sono prodotti sulla scena mondiale: la complessa e delicata situazione sociopolitica attraversata dalla Siria, ad esempio, è stata ampiamente "utilizzata" nell'ambito delle cosiddette "nigeriane", nel tentativo di raggirare i destinatari dei messaggi fraudolenti via via distribuiti.

2 Lo spam «ultraterreno» Così come avevamo previsto, nel mese qui analizzato è ulteriormente aumentato il numero delle campagne di spam ispirate ai più classici temi suggeriti dalla popolare festa di Halloween, ormai celebrata su scala globale proprio alla fine del mese di ottobre. I messaggi indesiderati in lingua inglese riconducibili a tale specifica tipologia hanno principalmente reclamizzato, come vuole la tradizione, ogni genere di costumi e mascheramenti da indossare in occasione della nota festività, così come un'ampia varietà di regali personalizzabili, spesso provvisti di un proprio sistema di illuminazione. E' interessante osservare come, quest'anno, gli spammer non si siano neppure "preoccupati" di variare, in qualche modo, la composizione e la struttura dei messaggi di Halloween diffusi in ogni angolo del globo; in effetti, essi hanno fatto ricorso ai soliti modelli, già ampiamente utilizzati lo scorso anno: nella circostanza, gli spammer hanno provveduto a modificare soltanto l'indirizzo del mittente riportato nel campo <From>, aggiungendo poi ai messaggi in causa un link in grado di condurre i destinatari delle verso un sito di redirect creato di recente. Attraverso questo genere di messaggi indesiderati, numerose aziende di piccole e medie dimensioni hanno proposto ai potenziali clienti della Rete prodotti decorati con i motivi tipici della festività di Halloween, invitando poi gli stessi a sfoggiare tali articoli in occasione degli innumerevoli party organizzati alla vigilia del giorno di Ognissanti. Nel mese di ottobre, anche certi organizzatori di webinar hanno distribuito in Rete inviti elaborati in perfetto "stile Halloween": per alcune parti del testo presente in tali messaggi è stato ad esempio utilizzato il colore arancione, che richiama, dal punto di vista cromatico, la zucca, il principale simbolo della celebre festività autunnale. In genere, gli spammer hanno ripetutamente e volutamente accentuato la colorazione del testo. Come evidenzia lo screenshot qui sotto riportato, oltre a ciò, sono state ampiamente utilizzate alcune tipiche simbologie di Halloween, quali lapidi, o addirittura mani di scheletro inserite in qualità di "puntatore" per indicare un determinato link inserito nel messaggio, attraverso il quale il destinatario dell' avrebbe potuto ottenere informazioni più dettagliate riguardo all'evento proposto. Di fatto, come si può vedere, il tema discusso nell'ambito del webinar non aveva proprio nulla a che fare con la festa in questione; nella circostanza, l'inusuale composizione grafica, con decorazioni e motivi vari, aveva semplicemente lo scopo di attirare al massimo l'attenzione dei destinatari del messaggio.

3 Nell'immediata vigilia della popolare festa di fine ottobre, abbiamo individuato la presenza, nel traffico di posta elettronica, di alcuni mailing di massa organizzati da fabbriche e laboratori cinesi, allestiti per pubblicizzare costumi e maschere di Halloween, nonché vari articoli decorativi appositamente prodotti per la speciale ricorrenza. Al fine di stuzzicare l'attenzione del destinatario dell' , alcuni messaggi erano stati composti in stile "festivo", con tanto di presentazione e indicazione dei costi relativamente ad alcuni prodotti esemplificativi. In altre del genere, invece, veniva esclusivamente fornito l'indirizzo del sito web attraverso il quale l'utente avrebbe potuto ottenere dettagliate informazioni riguardo alla gamma dei prodotti disponibili. Nel corso del mese oggetto del presente report dedicato al fenomeno spam abbiamo ugualmente individuato, in seno ai flussi globali, alcune campagne di spam condotte in lingua tedesca, più o meno liberamente ispirate alla festività di Halloween. Nella fattispecie, gli spammer hanno distribuito nelle caselle di posta elettronica degli utenti della Rete un elevato numero di messaggi "spazzatura" pubblicizzanti il gioco d'azzardo online, cercando di attirare al massimo l'attenzione dei destinatari delle con l'offerta di sostanziosi bonus, concessi in via del tutto eccezionale proprio in onore di Halloween. Altre società, sempre nell'ambito dello spam elaborato in lingua tedesca, hanno poi offerto allettanti sconti "festivi" su prodotti di vario genere. Tali messaggi sono stati "decorati" con i più classici motivi e simboli della popolare festività; il termine "Halloween", tra l'altro, è stato costantemente menzionato nell'oggetto delle pubblicitarie in questione.

4 Lo spam di Capodanno Segnaliamo altresì come, nel mese di ottobre, si sia notevolmente intensificato il volume dello spam dedicato alle festività natalizie e del Nuovo Anno. Di fatto, è proprio in questo periodo che iniziano i febbrili preparativi volti a celebrare al meglio le imminenti e sentite ricorrenze. E' davvero singolare rilevare come, nell'ambito dei mailing di massa in lingua inglese consacrati alle tipiche tematiche natalizie, sia stata talvolta abbinata la réclame relativa a repliche di costosi orologi di marca con l'offerta di crediti particolarmente vantaggiosi. Alle aziende sono state invece proposte chiavette USB a forma di Babbo Natale; allo stesso modo, alle imprese è stata ugualmente offerta la fornitura di confezioni di caramelle e cioccolatini con il logo della società, così come di variopinti biglietti di auguri concepiti quale omaggio per la clientela.

5 L'atmosfera prefestiva che da più parti si comincia in qualche modo già a respirare è stata ugualmente sfruttata da vari produttori cinesi, i quali hanno attivamente intrapreso estese campagne di spam volte a pubblicizzare gli articoli da essi fabbricati. Alcune società cinesi hanno ad esempio lanciato sul mercato dello spam di ottobre speciali apparecchi e dispositivi di illuminazione, da utilizzare in particolar modo nell organizzazione di feste e serate a tema natalizio; altri articoli proposti dai produttori cinesi si sono ugualmente caratterizzati per il fatto di essere chiaramente ispirati alle tradizionali tematiche delle festività di fine anno. E' importante sottolineare come simili messaggi , pubblicizzanti prodotti cinesi specificamente dedicati alle festività natalizie, siano stati individuati all'interno dei flussi di spam, per la prima volta, proprio quest'anno. Nel mese passato, le società che offrono servizi non direttamente collegati alle tematiche che contraddistinguono l'importante periodo festivo in questione hanno comunque cercato di attirare un maggior numero di clienti proponendo sconti speciali, concessi proprio in occasione del Natale e del Nuovo Anno. Siria ed «nigeriane» La complessa e delicata situazione politico-sociale che sta attualmente attraversando la Siria è stata attivamente "sfruttata" dagli spammer per l'invio delle consuete "nigeriane", ingrediente imprescindibile nei flussi dello spam mondiale; di ciò abbiamo già riferito in precedenza all'interno del

6 nostro blog. Nel corso del mese di ottobre abbiamo continuato ad individuare, nell'ambito di questa specifica tipologia di spam, nuovi esempi e modelli di fraudolente. In primo luogo, è risultato riconducibile alla tematica del conflitto siriano un ampio numero di "nigeriane" inviate da sedicenti membri delle varie fazioni in lotta. In una di tali campagne di spam truffaldino, poi, i malfattori hanno addirittura indossato le vesti di militari partecipanti ad una fantomatica missione di pace in Siria; per suscitare il massimo grado di interesse nella "vittima", i "soldati" in causa riferivano, come d'abitudine, di quanto fosse indispensabile ottenere la collaborazione del destinatario del messaggio, per poter affidare a quest'ultimo beni ed averi di ingenti proporzioni. Il copione è comunque sempre lo stesso: i malintenzionati confidano nel fatto che l'utente coinvolto, incuriosito o magari veramente interessato, decida di rispondere all' nociva, nella speranza di ottenere, in seguito, ulteriori informazioni riguardo all'allettante proposta ricevuta. In un altro mailing di massa "nigeriano", ancor più curioso, i truffatori hanno invece assunto le sembianze di una soldatessa statunitense, anch'essa partecipante ad una non ben precisata "missione di pace" in territorio siriano. Come evidenzia lo screenshot qui sotto inserito, Jane - questo il nome della "soldatessa" USA - esprime il forte desiderio di conoscere meglio il destinatario del messaggio, con il preciso intento di avviare, con quest'ultimo, una seria relazione. Non sempre la "vittima" designata riesce purtroppo ad intuire immediatamente che dietro una semplice proposta di "amicizia" si possa celare, invece, un inganno bello e buono. In sostanza, lo schema applicato alla truffa "nigeriana" sopra descritta è il seguente: non appena i malintenzionati riescono a conquistare la fiducia della "vittima", guarda a caso, succede sempre qualcosa di spiacevole ed inatteso all'amico "di penna"; il problema che si è improvvisamente manifestato potrà essere risolto solo grazie al sostegno finanziario fornito dall'amico lontano, mediante apposito trasferimento di denaro. Una tipica variante del raggiro abitualmente praticato dai "nigeriani" della Rete è rappresentata dal classico racconto relativo alla disponibilità di inusitate cifre milionarie, con la conseguente promessa di una lauta ricompensa per l'aiuto gentilmente prestato dalla vittima in improbabili operazioni di trasferimento o di investimento delle stratosferiche cifre in ballo. Il risultato, alla fine, sarà sempre lo stesso: coloro che cadono nel tranello più o meno abilmente teso dai malfattori di turno si vedranno inevitabilmente carpire una certa somma di denaro, mentre i truffatori, da parte loro, quasi "per incanto", cesseranno improvvisamente di rispondere alle , scomparendo letteralmente nel nulla. Lungo tutto l'arco del mese di ottobre 2013, i malintenzionati hanno inoltre inondato le box degli utenti di ogni angolo del pianeta di messaggi di spam nigeriano in cui sedicenti "cittadini siriani" raccontavano storie particolarmente drammatiche, con le conseguenti ed abituali richieste di aiuto o supporto per salvaguardare od investire ingenti somme di denaro saltate fuori da chissà dove. Gli autori di tali messaggi si sono presentati alle potenziali vittime del raggiro non solo in veste di cittadini siriani in procinto di abbandonare il paese mediorientale sconvolto dai recenti disordini e dalla guerra civile, ma

7 anche di pensionati in possesso di enormi fortune da preservare. Nella circostanza, il chiaro intento dei malfattori era quello di far leva non soltanto sull'avidità umana, ma anche sul sentimento di compassione evocato dalle terribili storie narrate, spesso riguardanti gli stessi "figli" delle persone "in difficoltà" o "perseguitate". Secondo le intenzioni dei truffatori, per ottenere maggiori informazioni su quanto riferito attraverso tali messaggi, i destinatari delle avrebbero dovuto utilizzare l'indirizzo di posta elettronica indicato nella parte conclusiva del messaggio. Magia nello spam La magia, nelle sue più diverse manifestazioni, è divenuta uno dei temi di maggior rilievo nell'ambito delle campagne di spam condotte nel corso del mese di ottobre Di fatto, gli "esperti" nel settore della magia bianca e della magia nera hanno attivamente proposto i loro servizi sia nell'internet russa che nel segmento anglofono della Rete. La tipologia di servizio che ha trovato maggior diffusione si è indubbiamente rivelata essere quella relativa alla soluzione dei problemi amorosi, mediante l'impiego di appositi filtri e pozioni: nella circostanza, i maghi impegnati nei mailing di massa garantivano il ritorno all'ovile della persona amata, oppure l'instaurazione di un legame inscindibile con lui (o con lei). Gli autori dei messaggi in questione hanno ugualmente proposto incantesimi per rafforzare o distruggere i matrimoni, trattare i problemi di fertilità, ottenere avanzamenti in carriera, incrementare il volume degli affari e risolvere altre problematiche d'importanza più o meno vitale. Si è trattato, in genere, di messaggi di spam dal tono impersonale, giunti da indirizzi registrati presso servizi di posta elettronica gratuiti. I messaggi qui esaminati, oltre all'elenco dei servizi offerti, contenevano ugualmente l'indirizzo del mago di turno - quasi sempre risultato diverso dall'indirizzo del mittente - ed il numero di telefono dell'esperto di magia, affinché il destinatario potesse mettersi direttamente in contatto con quest'ultimo.

8 Gadget con il logo aziendale Abbiamo più volte sottolineato come le campagne di spam rappresentino uno dei veicoli preferiti per pubblicizzare i più disparati articoli marcati con i loghi aziendali, quali, ad esempio, calendari, penne, tazze ed altri oggetti promozionali. In questi ultimi tempi, sembrano godere di particolare popolarità, presso gli spammer, le chiavette USB e le schede di memoria con il logo della società che commissiona la realizzazione del gadget. Gli autori di tali mailing pubblicitari dichiarano, di fatto, di poter apporre qualsiasi logo sui prodotti disponibili, secondo il desiderio espresso dal cliente.

9 Simili campagne di spam vengono abitualmente condotte in varie lingue (russo, inglese, tedesco, spagnolo, svedese ed altre ancora). Ripartizione geografica delle fonti di spam Nel mese di ottobre 2013 la quota dello spam presente nel traffico di posta elettronica globale ha fatto registrare un incremento del 6,6%, attestandosi in tal modo su un valore medio pari al 72,5%. La graduatoria globale delle fonti di spam - relativa ai paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di spazzatura - è rimasta in sostanza invariata rispetto all analogo rating del mese precedente. Le prime tre posizioni della speciale classifica da noi stilata sono andate nuovamente ad appannaggio di Cina (21,3%), Stati Uniti (17,2%) e Corea del Sud (13,3%). Le quote attribuibili ai tre paesi che detengono la leadership del rating qui analizzato risultano tuttavia lievemente inferiori agli indici per essi rilevati nello scorso mese di settembre, anche se le rispettive variazioni si sono mantenute entro la soglia del punto percentuale. In totale, nel mese oggetto del presente report, oltre la metà del volume complessivo dei messaggi indesiderati diffusi su scala mondiale è stato inoltrato verso le caselle di posta elettronica degli utenti della Rete dal territorio dei tre suddetti paesi.

10 Geografia delle fonti di spam rilevate nel mese di ottobre Graduatoria su scala mondiale Così come un mese fa, al quarto posto della graduatoria da noi elaborata troviamo Taiwan (7,1%); la quota riconducibile al paese dell'estremo Oriente insulare risulta aumentata dell' 1,1% rispetto all'analogo rating di settembre Alla quinta piazza si è poi insediata la Russia (6,8%); rispetto al mese precedente l'indice attribuibile al più esteso paese del globo ha fatto registrare un incremento di quasi due punti percentuali. La quota ascrivibile all'india è invece diminuita dell' 1,5%: nel mese di ottobre 2013 l'indice relativo al "gigante" del sub-continente indiano è risultato in effetti pari al 3,5%. Il popoloso paese asiatico è in tal modo passato dalla quinta all'ottava posizione della speciale classifica relativa alle fonti geografiche dello spam "mondiale". In ultima posizione, all'interno della TOP-10 di ottobre, troviamo infine il Giappone, con una quota dell' 1,9%; il Paese del Sol Levante ha quindi "perso" una posizione rispetto ad un mese fa. E' di particolare interesse osservare come l'intensificarsi delle attività condotte dagli spammer entro i confini del territorio di Hong Kong (0,9%) e del Brasile (0,6%) abbia determinato la collocazione di tali paesi nelle parti inferiori del rating qui sopra riportato.

11 Geografia delle fonti di spam rilevate nel mese di ottobre 2013 relativamente ai messaggi indesiderati inviati agli utenti della Rete situati sul territorio di paesi europei Nel mese di ottobre 2013, la prima posizione della speciale classifica relativa alla distribuzione geografica delle fonti dei messaggi di spam giunti nelle caselle di posta elettronica degli utenti della Rete europei, è andata nuovamente ad appannaggio della Corea del Sud; la quota attribuibile al paese dell Estremo Oriente ha tuttavia fatto segnare una significativa diminuzione (- 3,7%) rispetto all'analogo rating relativo allo scorso mese di settembre, attestandosi in tal modo su un valore complessivo pari al 51,3%. Il secondo gradino del "podio" virtuale risulta occupato, così come in precedenza, da Taiwan (7,4%). Da parte sua, la Federazione Russa, con una quota pari al 5,2% è andata a collocarsi al terzo posto del rating qui esaminato; rileviamo come l'indice relativo a tale paese sia aumentato di 0,9 punti percentuali rispetto al mese precedente. La quota relativa ai messaggi indesiderati provenienti dal territorio del Vietnam (2,61%) ha fatto registrare un decremento dell' 1,5%; è stata ugualmente riscontrata una sensibile diminuzione (- 2,7%) dell'indice ascrivibile all'india (2%) quale fonte dello spam "europeo". Ne è conseguito che i due paesi asiatici in questione sono scesi di alcune posizioni in graduatoria, andando a collocarsi, rispettivamente, al 7 e all' 8 posto del rating di ottobre Osserviamo inoltre come, rispetto allo scorso mese di settembre, l indice percentuale attribuibile ai flussi di spam provenienti dal territorio italiano abbia fatto registrare un aumento di oltre un punto percentuale (1,2%). Nel mese oggetto del presente report l'italia è così andata ad occupare la nona piazza della nostra speciale graduatoria "europea", facendo segnare un indice complessivo pari al 2%. E' entrata a far parte della TOP-10 di ottobre anche Hong Kong (+ 2%); la regione amministrativa speciale della Repubblica Popolare Cinese si è in effetti posizionata alla sesta piazza della graduatoria. In ultima posizione, con una quota dell' 1,7% troviamo infine il Kazakhstan. Complessivamente, gli indici relativi ai rimanenti paesi presenti in graduatoria non hanno subito significative variazioni percentuali.

12 Suddivisione per macro-regioni geografiche delle fonti di spam rilevate nel mese di ottobre 2013 La graduatoria relativa alla ripartizione delle fonti di spam per macro-aree geografiche mondiali risulta ancora una volta capeggiata dall Asia, con una quota pari al 56,4%; nel mese di ottobre 2013, l indice attribuibile al continente asiatico è tuttavia lievemente diminuito (- 2,4%) rispetto all analogo valore riscontrato nel mese precedente. Ciò testimonia, quindi, un minor livello di attività da parte degli spammer insediati nella macro-regione asiatica. Così come in precedenza, al secondo posto della speciale classifica "regionale" si è insediata l'america Settentrionale (19%); la quota ascrivibile al continente nordamericano ha comunque presentato una flessione di un punto percentuale rispetto all'analogo rating di settembre Il terzo gradino del podio "virtuale" è nuovamente andato ad appannaggio dell'europa Orientale (16%); l'indice relativo a tale macro-regione geografica ha evidenziato un sensibile aumento rispetto ad un mese fa, pari - nel complesso - a 3,8 punti percentuali. Al quarto e al quinto posto del rating "regionale" delle fonti di spam si sono infine collocate, rispettivamente, Europa Occidentale (4%) ed America Latina (2%). Allegati nocivi rilevati nel traffico di posta elettronica La TOP-10 del mese di ottobre 2013 relativa ai software nocivi più frequentemente rilevati all'interno dei flussi di posta elettronica globali si presenta nel modo seguente:

13 TOP-10 relativa ai programmi nocivi maggiormente diffusi nel traffico di posta elettronica nel mese di ottobre 2013 La TOP-10 del mese di ottobre 2013 relativa ai software nocivi maggiormente presenti nei flussi di posta elettronica mondiali risulta capeggiata, così come nel mese precedente, dal malware classificato con la denominazione di Trojan-Spy.HTML.Fraud.gen (6,6%); la quota attribuibile a tale programma nocivo ha fatto tuttavia registrare una sensibile diminuzione (pari a 3,7 punti percentuali) rispetto all analogo indice rilevato in settembre. Ricordiamo, nella circostanza, che il software nocivo sopra menzionato è stato elaborato dai suoi autori sotto forma di una pagina HTML di phishing, in grado di riprodurre i form di registrazione di determinati servizi di banking online o di altri servizi erogati nel World Wide Web; il Trojan-Spy in questione è stato appositamente creato dai virus writer per compiere il furto dei dati sensibili (login e password) relativi, in primo luogo, agli account di Internet banking aperti in Rete dagli utenti. In pratica, se l utente inserisce i propri dati all interno dei campi presenti nei form contraffatti, e provvede a trasmettere tali dati tramite l apposito pulsante di invio, le informazioni personali cadranno direttamente ed inevitabilmente nelle mani di malintenzionati senza scrupoli. Il malware Fraud.gen viene abitualmente distribuito dai malfattori della Rete tramite la posta elettronica, sotto forma di importanti notifiche e comunicazioni provenienti (in apparenza!) da istituti bancari, negozi Internet, servizi online di primaria importanza, etc. Alla seconda piazza della graduatoria di ottobre 2013 relativa ai programmi dannosi maggiormente diffusi nel traffico troviamo poi il software maligno classificato dagli esperti di sicurezza IT come Trojan-PSW.Win32.Fareit.amdp. Si tratta, nella fattispecie, di un programma malware preposto al furto di password, login ed altre informazioni confidenziali custodite nei computer sottoposti ad infezione informatica. Trojan-PSW.Win32.Fareit.amdp, tuttavia, non effettua il log delle sequenze dei tasti premuti dall'utente-vittima; una volta avviato, in effetti, esso procede direttamente alla ricerca dei dati sensibili memorizzati all'interno del registro e dei file di sistema. Il terzo posto del rating di ottobre 2013 è andato ad appannaggio del software nocivo classificato come -Worm.Win32.Bagle.gt, tornato rapidamente a far parte della TOP-3 relativa alla graduatoria qui analizzata. Si tratta, come è noto, di un worm di posta elettronica preposto a raccogliere gli indirizzi e- mail presenti nei computer-vittima contagiati, e più precisamente negli elenchi dei contatti, per poi auto-diffondersi in Rete tramite gli account di posta illecitamente carpiti. Tale programma nocivo risulta inoltre provvisto di ulteriori "doti": esso è stato appositamente creato dai virus writer per interagire con specifici siti web allestiti dai cybercriminali, al fine di scaricare dalla Rete ulteriori file nocivi sui computer sottoposti ad attacco, all'insaputa degli utenti-vittima. Per realizzare l'invio dei messaggi infetti, - Worm.Win32.Bagle.gt utilizza la propria libreria SMTP. Proseguendo la nostra analisi, risulta evidente come, all'interno dei flussi di spam nocivo, manifestino un livello di attività sempre maggiore i software nocivi appartenenti alla famiglia di malware denominata Bublik. In effetti, mentre nell'analoga graduatoria di settembre 2013 comparivano solo quattro rappresentanti della famiglia di malware in questione, il rating qui sopra riportato evidenzia la presenza di ben cinque varianti di Bublik, insediatesi, rispettivamente, al 4, 6, 7, 8 e 9 posto della classifica. Le principali funzionalità di cui sono provvisti tali programmi dannosi consistono nel download e nella successiva installazione sul computer-vittima di nuove versioni di programmi nocivi, a totale insaputa dell'utente. Una volta portato a termine il proprio compito, i programmi malware riconducibili alla famiglia Bublik non rimangono allo stato attivo, anche se provvedono a realizzare una copia di se stessi all'interno della cartella <%temp%>. Riteniamo infine di particolare utilità sottolineare come i trojan Bublik siano soliti camuffarsi sotto forma di applicazioni o documenti Adobe. La quinta posizione della speciale classifica di ottobre 2013 risulta poi occupata dal malware denominato Trojan-Ransom.Win32.Blocker.cmmb. I programmi trojan appartenenti a tale famiglia rappresentano un classico esempio di software dannosi appositamente progettati dai virus writer per eseguire subdole

14 operazioni di ricatto ed estorsione nei confronti degli utenti-vittima. Una volta penetrati nel computer sottoposto ad attacco, questi programmi nocivi si inseriscono immediatamente nel processo di caricamento automatico del sistema operativo, riuscendo in tal modo a bloccare il normale avvio dell'os preso di mira. Dopo essersi pienamente impossessati del controllo delle procedure di avvio del sistema operativo, i suddetti trojan fanno apparire sul desktop dell'utente un'apposita finestra, in cui vengono mostrate le condizioni fissate per il riscatto. Tali condizioni possono consistere, ad esempio, nella richiesta di invio di un messaggio SMS - contenente un determinato testo - verso un costoso numero a pagamento, appositamente allestito dai malintenzionati per prosciugare rapidamente l'account telefonico della vittima. In risposta, viene promesso l'invio di un apposito codice di sblocco, in grado di disattivare il programma nocivo e ripristinare, quindi, le corrette procedure di caricamento del sistema operativo. In ultima posizione, nell'ambito della TOP-10 riservata ai programmi malware individuati con maggiore frequenza all'interno del traffico di posta elettronica globale, troviamo infine il malware classificato con la denominazione di -Worm.Win32.Mydoom.l - tradizionale "habitué" del rating esaminato nel presente capitolo del report - un insidioso worm di rete provvisto, allo stesso tempo, di specifiche funzionalità di backdoor. Ricordiamo, con l'occasione, che tale software nocivo viene abitualmente distribuito sotto forma di allegato ai messaggi , nonché attraverso le reti di condivisione dei file e le risorse di rete disponibili per operazioni di scrittura. Il compito principale che si prefigge Mydoom.l è quello di effettuare la raccolta degli indirizzi custoditi nei computer sottoposti ad attacco, per poi realizzare il consueto processo di auto-diffusione in Rete tramite gli account carpiti. Per inviare i messaggi infetti il worm in questione stabilisce una connessione diretta con il server SMTP del destinatario dell' . Peculiarità e tratti caratteristici dello spam nocivo di ottobre Ci siamo imbattuti, nel mese scorso, in un'estesa campagna di spam nocivo recante messaggi provenienti, in apparenza, da Telus Mobility, la maggiore società canadese operante nel settore delle telecomunicazioni. Il testo di tali messaggi, elaborato sia in inglese che in francese (entrambe lingue ufficiali in Canada) recitava quanto segue: «Lei ha ricevuto un messaggio inviato attraverso un telefono TELUS. Per ottenere maggiori informazioni riguardo ai servizi di messaggistica mobile offerti da TELUS si prega di visitare il nostro sito web. Se non riesce ad ascoltare o visualizzare il file qui allegato, La invitiamo ad effettuare il download e l'installazione del player Quick Time». Di fatto, i link presenti nei messaggi nocivi conducevano verso il sito ufficiale dell'operatore di telefonia canadese, mentre il link preposto al download del player avrebbe effettivamente portato i destinatari delle in questione sul sito della Apple. Nella circostanza, i malfattori avevano provveduto ad allegare alle dannose un archivio ZIP, il quale, in teoria, avrebbe dovuto contenere il messaggio ricevuto dall'utente. In realtà, l'archivio compresso recava al destinatario un file eseguibile provvisto di doppia estensione; la prima di tali

15 estensioni era di natura grafica e, secondo le intenzioni dei cybercriminali, avrebbe dovuto mascherare l'allegato nocivo sotto forma di immagine. Il file eseguibile si è poi rivelato essere un software nocivo, riconducibile ad una delle famiglie di malware in assoluto più diffuse tra quelle abitualmente distribuite dai malintenzionati attraverso la posta elettronica, ovvero Zeus/Zbot. I prodotti anti-malware di Kaspersky Lab rilevano tale file dannoso come Trojan-Spy.Win32.Zbot.qmeb. I programmi nocivi appartenenti alla famigerata famiglia Zeus/Zbot vengono abitualmente utilizzati dai criminali informatici per effettuare il furto dei dati sensibili (login, password, etc.) relativi agli account bancari degli utenti. Ricordiamo, nell'occasione, come tali software dannosi facciano inoltre ampio uso delle sofisticate tecnologie rootkit, le quali consentono al malware in causa di poter nascondere all'interno del sistema (non nei confronti dell'antivirus, tuttavia) la presenza dei propri file e processi eseguibili. Phishing In ottobre, la quota percentuale relativa ai messaggi di phishing individuati nel flusso globale delle e- mail ha fatto segnare un indice pari allo 0,027% del volume complessivo di messaggi di posta elettronica circolanti in Rete. TOP-100 relativa alle organizzazioni maggiormente sottoposte agli attacchi di phishing nel mese di ottobre Suddivisione per categorie dei rilevamenti eseguiti dal modulo Anti-phishing Translator's note Captions in Russian language inside the figure, from the top downwards: Social network Posta elettronica, programmi di instant messaging Motori di ricerca Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari Fornitori di servizi di telefonia ed Internet provider Vendor IT

16 * La classifica delle 100 organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti dal nostro componente «Anti-phishing» attraverso le soluzioni anti-malware installate sui computer degli utenti. Tale modulo è in grado di individuare e neutralizzare tutti i link di phishing sui quali l'utente si imbatte, siano essi collegamenti ipertestuali nocivi contenuti all'interno di messaggi di spam oppure link disseminati nel World Wide Web. I dati raccolti ed elaborati dai nostri esperti hanno in primo luogo evidenziato come, nel mese oggetto del presente report dedicato al fenomeno spam, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non abbia subito significative variazioni rispetto all analogo rating del mese precedente. Così come nello scorso mese di settembre, al primo posto della speciale graduatoria da noi stilata troviamo, in effetti, la categoria «Social network», con una quota pari al 28,2%. Il secondo gradino del "podio" virtuale di ottobre 2013 risulta occupato dalla categoria "Posta elettronica, programmi di instant messaging", il cui indice complessivo (18,9%) ha fatto registrare un lieve incremento rispetto al mese precedente, pari a 0,8 punti percentuali. La terza posizione del rating qui analizzato è andata ad appannaggio dei motori di ricerca (16,1%); rispetto ad un mese fa, la quota ascrivibile alla categoria che raccoglie i search engine è aumentata dello 0,9%. L'indice relativo alla categoria "Organizzazioni finanziarie, sistemi di pagamento online ed istituti bancari" (15,4%) ha evidenziato un aumento di mezzo punto percentuale rispetto all'analogo rating di settembre 2013; tale raggruppamento ha così conservato la quarta piazza della graduatoria sopra riportata. Rileviamo, inoltre, come sia rimasta invariata la quota riguardante la categoria denominata "Fornitori di servizi di telefonia ed Internet provider" (8,4%), attestatasi nuovamente alla quinta piazza della TOP-100 in questione. Per contro, l'indice relativo ai "Vendor IT" (7%) ha fatto registrare una diminuzione dello 0,9%; nonostante ciò, tale gruppo ha conservato la sesta posizione all'interno della speciale classifica relativa alle organizzazioni maggiormente prese di mira dai phisher nel corso del periodo oggetto del presente report. Conclusioni Nel mese di ottobre 2013 la quota dello spam presente nel traffico di posta elettronica globale ha fatto registrare un incremento del 6,6%, attestandosi in tal modo su un valore medio pari al 72,5%. Visto il particolare periodo dell'anno qui analizzato, tale circostanza è evidentemente riconducibile ad una notevole crescita del numero dei messaggi di spam distribuiti nel quadro dei mailing di massa abitualmente eseguiti dagli spammer "su commissione". Occorre notare come, in ottobre, la quota complessiva dello spam rilevato all'interno del traffico abbia raggiunto i valori fatti segnare, in precedenza, nel corso dei mesi primaverili; si tratta di una manifestazione tipica dell'inizio della stagione autunnale, quando, dopo la "quiete" che contraddistingue il lungo periodo delle ferie e delle vacanze estive, si assiste ad una piena ripresa delle attività lavorative. Gli spammer, lungo tutto l'arco del mese oggetto del presente report, hanno fatto attivamente ricorso al cosiddetto spam "festivo" - dedicato in particolar modo ad Halloween, Natale e Capodanno - per reclamizzare ogni genere di prodotti e servizi, incluso quelli non direttamente collegati alle classiche tematiche che caratterizzano le festività sopra menzionate. Tradizionalmente, coloro che si "dilettano" a inondare le box degli utenti della Rete di messaggi indesiderati, sono soliti distribuire lo "spam natalizio" e lo "spam di Capodanno" proprio nel periodo intercorrente dal mese di ottobre al mese di dicembre; di conseguenza, anche nel corso del mese prossimo continueremo di sicuro a rilevare, all'interno del traffico di posta elettronica mondiale, la conduzione di un elevato numero di campagne di spam volte a sfruttare i temi più classici delle più importanti e sentite festività della stagione invernale.

17 Anche nel mese di ottobre 2013 gli spammer hanno insistentemente rivolto le loro attenzioni agli importanti avvenimenti politici che si sono prodotti sulla scena internazionale: la complessa e difficile situazione siriana, ad esempio, è stata ampiamente "utilizzata" nell'ambito delle cosiddette "nigeriane", nel tentativo di raggirare i destinatari dei messaggi fraudolenti e sottrarre quindi agli stessi significative somme di denaro. In ottobre, la speciale classifica relativa alle organizzazioni rimaste vittima con maggior frequenza degli assalti portati dai phisher non ha subito significative variazioni rispetto all analogo rating del mese precedente. Sottolineiamo, tuttavia, come le quote percentuali relative alle quattro categorie situate al vertice della graduatoria in questione siano leggermente aumentate in relazione alla TOP-100 stilata un mese fa. La categoria che raggruppa i social network continua a detenere la poco ambita leadership relativa al numero di attacchi di phishing subiti; l indice percentuale attribuibile a tale categoria ha fatto complessivamente segnare un incremento pari allo 0,04%. Il secondo e il terzo gradino del "podio" virtuale sono invece andati ad appannaggio, rispettivamente, dei servizi di posta elettronica e dei search engine. Sta poi continuando ad aumentare il numero delle campagne di phishing aventi come bersaglio le organizzazioni di natura finanziaria; tale specifica tendenza sembra destinata a manifestarsi anche nel mese prossimo. I malintenzionati della Rete sfruttano sempre più di frequente i nominativi di noti fornitori di servizi di telecomunicazione allo scopo di distribuire pericolosi programmi nocivi nelle box degli utenti. Nello scorso mese di settembre gli spammer hanno utilizzato il nominativo di BT Group, la maggiore società britannica operante nel settore delle telecomunicazioni, per diffondere un insidioso malware - Trojan-Downloader.Win32.Dofoil - preposto al download e all'avvio di pericolosi software nocivi sui computer-vittima. Nel mese di ottobre, come abbiamo visto, i malfattori hanno invece preso di mira la compagnia Telus Mobility, noto operatore di telefonia canadese. Stanno trovando sempre maggiore diffusione, all'interno dei flussi di spam globali, i software nocivi riconducibili alla famiglia Bublik; nella TOP-10 di ottobre 2013 relativa ai programmi dannosi rilevati con maggior frequenza nel traffico di posta elettronica, compaiono in effetti ben cinque rappresentanti di tale famiglia di malware.