Le caratteristiche peculiari del trimestre
Trojan “consegnati” dai corrieri espresso
Proprio all’inizio del secondo trimestre del 2017, è stata da noi rilevata una vera e propria ondata di mailing di massa maligni composti da messaggi e-mail camuffati sotto forma d notifiche provenienti (in apparenza!) da noti corrieri internazionali. Nella circostanza, ai destinatari dei messaggi di spam nocivo venivano recapitati insidiosi Trojan-downloader, nascosti all’interno di appositi archivi ZIP; una volta avviata l’esecuzione, i Trojan in questione provvedevano poi a scaricare sul computer-vittima ulteriori programmi malware — Backdoor.Win32.Androm e Trojan.Win32.Kovter. Per cercare di convincere il destinatario del messaggio ad aprire l’allegato dannoso, i malintenzionati sono ricorsi all’utilizzo di metodi già ben “collaudati”, spacciando il contenuto nocivo per informazioni di fondamentale importanza riguardo alla “consegna” in corso. I mailing nocivi, recanti messaggi e-mail elaborati in varie lingue, hanno bersagliato gli utenti di diversi paesi.
Nell’ambito delle false notifiche inviate (apparentemente) dai corrieri espresso, i malintenzionati sono ugualmente ricorsi all’impiego di link malevoli, con il preciso scopo di infettare i computer degli utenti-vittima e realizzare il furto delle informazioni personali. Il link dannoso, di solito, era collegato al numero di tracking dell’inesistente spedizione, ed appariva nel modo seguente:
Http://dominio/nome del corriere __com__WebTracking__tracknum__4MH38630431475701
Il nome di dominio, così come la sequenza di lettere e cifre poste nella parte finale del link, risultavano diversi all’interno del medesimo mailing di spam.
Cliccando sul link maligno, l’utente avrebbe scaricato sul proprio computer un programma Trojan appartenente alla famiglia Js.Downloader, il quale, a sua volta, avrebbe generato il download del noto Trojan bancario Emotet. Questo temibile malware è stato individuato, per la prima volta, nel mese di giugno del 2014; esso viene tuttora utilizzato sia per compiere il furto delle informazioni personali relative alla sfera finanziaria dell’utente-vittima, sia per carpire login e password inerenti ad altri servizi online. Emotet, inoltre, può anche essere sfruttato per l’invio di spam, e per ulteriori attività malevole.
WannaCry nello spam
Nel mese di maggio del 2017, centinaia di migliaia di computer, in tutto il mondo, sono stati infettati dal famigerato malware crittografico WannaCry. A differenza della maggior parte degli analoghi programmi ransomware, che per infettare i computer-vittima hanno bisogno di una determinata azione compiuta da parte dall’utente preso di mira, si può essere infettati da WannaCry pur non facendo nulla. Il malware in questione attacca il proprio target utilizzando un exploit per Windows, e poi infetta tutti i computer che si trovano all’interno della rete locale. Al pari degli altri software nocivi dalle caratteristiche analoghe, anche WannaCry cifra i file custoditi sul computer sottoposto ad attacco, e poi richiede il pagamento di un riscatto per la decodifica degli stessi. Ai file criptati, che divengono illeggibili, viene assegnata l’estensione .wcry.
Gli spammer, da parte loro, hanno reagito nel modo consueto al clamore suscitato dalla comparsa del nuovo, temibile malware crittografico, peraltro al centro dell’attenzione dei mass media di tutto il mondo: hanno difatti sfruttato tale circostanza per i propri fini. Così, i flussi delle e-mail “spazzatura” sono stati invasi da innumerevoli proposte relative alla fornitura di appositi servizi da utilizzare nella lotta contro il nuovo malware, ed in particolar modo per contrastare la dilagante infezione informatica da esso generata. Gli spammer hanno ugualmente proposto specifici corsi e seminari destinati alla formazione degli utenti in merito alle serie problematiche causate dalla comparsa sulla scena di WannaCry. Nell’occasione, non sono certamente rimasti a guardare neppure quei malintenzionati della Rete che sono soliti realizzare profitti illeciti attraverso la conduzione di mailing fraudolenti.
In effetti, essi hanno inviato alle potenziali vittime false notifiche a nome di noti produttori di software, attraverso le quali si comunicava che il computer del destinatario era stato infettato dal ransomware, e risultava pertanto indispensabile installare un determinato aggiornamento. Tuttavia, il link destinato a condurre, in apparenza, all’update, faceva sì che l’utente giungesse su un’insidiosa pagina web di phishing. Abbiamo notato, negli esempi da noi individuati ed analizzati, come i malintenzionati non avessero dedicato le “dovute” attenzioni alla corretta elaborazione del messaggio; questi ultimi hanno sicuramente ritenuto che, colta dal panico, la vittima non avrebbe di certo fatto troppo caso agli evidenti errori presenti sull’e-mail ricevuta (a livello di indirizzo del mittente, degli indirizzi contenuti nei link, etc.).
Ampio utilizzo, negli attacchi diretti al settore corporate, di malware situati all’interno di archivi protetti da password
Nel secondo trimestre del 2017, abbiamo rilevato la conduzione di nuovi mailing di spam composti da messaggi contenenti allegati maligni compressi all’interno di un apposito archivio protetto da password. Il target delle campagne malware in questione si è chiaramente rivelato essere il settore corporate.
Ricordiamo, a questo proposito, come i mailing nocivi riconducibili a tale tipologia, che prevede l’utilizzo di file archivio provvisti di password, perseguano due strategie ben precise; in primo luogo, i cybercriminali cercano di sfruttare un’astuta tecnica di ingegneria sociale, evidenziando il fatto che i presunti dati di natura confidenziale, inviati tramite l’e-mail (quali, ad esempio, le fatture contabili), risultano ulteriormente protetti da un’apposita password. In secondo luogo, finché i file non vengono decompressi, non è in pratica possibile effettuare un controllo completo degli stessi tramite il programma antivirus di cui si dispone.
I file archivio contenevano un software nocivo appartenente alla famiglia Pony/FareIT. Tale malware è stato progettato e sviluppato per realizzare un’ampia gamma di attività malevole: eseguire il furto degli username e delle password – memorizzati sul browser dell’utente – utilizzati per accedere ai servizi web; carpire gli indirizzi URL in cui tali credenziali sono state introdotte; impadronirsi dei dati necessari per eseguire le procedure di autenticazione nell’ambito dei server FTP, dei file manager, dei client di posta elettronica, delle applicazioni di sincronizzazione. I programmi Trojan riconducibili alla famiglia sopra indicata, temibili stealer di informazioni, vengono inoltre utilizzati per compiere il furto dei wallet (portafogli virtuali) contenenti criptovaluta.
L’archivio allegato al messaggio di posta conteneva il programma malware denominato Trojan-Downloader.MSWord.Agent.bkt, camuffato sotto forma di file Microsoft Word protetto da password. Il documento, a sua volta, contiene uno script nocivo preposto a scaricare sul computer dell’utente un ulteriore programma malware, adibito al furto dei dati bancari.
Sottolineiamo, inoltre, il fatto che si è sensibilmente rafforzata la tendenza a mascherare i mailing dannosi in veste di ordinaria corrispondenza aziendale. Gli spammer, adesso, non si limitano soltanto a copiare lo stile che caratterizza tale genere di e-mail; in effetti, essi fanno spesso uso di nominativi, indirizzi ed altre coordinate di società realmente esistenti, ne copiano la firma automatica ed il logo. Persino la tematica del messaggio può corrispondere al profilo dell’attività effettivamente svolta dall’impresa. A giudicare dai domini che compaiono negli indirizzi presenti nel campo “To”, e dal contenuto stesso delle e-mail, appare evidente come il target di tali mailing di massa sia ugualmente costituito dal settore B2B.
L’archivio conteneva un programma malware riconducibile alla famiglia Loki Bot, preposto a realizzare il furto delle password utilizzate per le connessioni FTP ed i client di posta elettronica; tale software maligno, inoltre, è stato appositamente progettato dai virus writer anche per carpire le password custodite nei browser, e per sottrarre agli utenti i wallet contenenti le criptomonete.
Il file archivio nascondeva il programma maligno classificato come Exploit.Win32.BypassUAC.bwc, destinato al furto delle password relative alle risorse di rete ed ai client di posta elettronica. Per innalzare il livello dei privilegi all’interno del sistema operativo contagiato, questo malware utilizza un exploit preposto a bypassare la protezione esercitata dal componente UAC (User Account Control; controllo account utente) di Microsoft Windows. Inoltre, mentre è all’opera, il software nocivo in questione si avvale di utility legittime per il recupero delle password.
L’archivio celava un file XLS provvisto di apposita macro dannosa, tramite la quale viene generato, sul computer-vittima, il download del keylogger classificato come HawkEye Keylogger. Questo insidioso programma maligno, scritto in linguaggio .NET, effettua il log delle sequenze dei tasti premuti dall’utente-vittima; esso raccoglie, inoltre, numerose informazioni sul sistema all’interno del quale si trova in azione: indirizzo IP interno ed esterno, versione del sistema operativo, nome del prodotto software adibito alla protezione IT e nome del firewall.
Qui, all’interno dell’archivio si trovavano addirittura due file nocivi: un EXE mascherato da PDF (rilevato come Trojan.Win32.VBKrypt.xdps) e un documento MS Word contenente un exploit in grado di sfruttare la vulnerabilità CVE-2017-0199. Entrambi i programmi maligni risultano preposti a scaricare sul computer-vittima una variante del tristemente noto Trojan-spyware denominato Zeus.
Simili attacchi informatici mirati possono avere obiettivi diversi. Nel caso dei malware crittografici appare evidente come la proprietà intellettuale di una società possa essere sostanzialmente valutata molto di più rispetto alle informazioni custodite nel computer di un utente privato; inoltre, la potenziale vittima sarà di sicuro più propensa ad accettare di pagare i bitcoin richiesti per poter riscattare la preziosa proprietà. Nel caso poi degli spyware specializzati nel furto delle informazioni di natura finanziaria, i malintenzionati possono ad esempio violare, potenzialmente, una banca, ed ottenere quindi l’accesso al conto di una società.
Nel settore B2B, inoltre, gli spyware possono essere utilizzati anche nell’ambito di schemi fraudolenti ancor più complessi, volti a colpire la sfera finanziaria; i cybercriminali, nella circostanza, possono ricorrere alla conduzione di attacchi di tipo MITM (Man-In-The-Middle) mentre vengono effettuate le transazioni finanziarie. Uno di questi schemi malevoli, scoperto dai nostri colleghi, è stato descritto in dettaglio qui.
È di particolare interesse rilevare come, nonostante il payload nocivo scaricato sul computer-vittima possa differire considerevolmente, la funzione principale dello stesso sia comunque rappresentata dal furto dei dati occorrenti per eseguire le procedure di autenticazione. Questo significa, cioè, che la maggior parte degli attacchi rivolti al settore corporate intende colpire obiettivi di natura finanziaria.
Non dobbiamo infine dimenticarci delle situazioni di estrema pericolosità che si possono verificare quando viene assunto illecitamente il controllo delle apparecchiature di cui sono dotati gli impianti industriali; i malintenzionati possono in effetti ottenere l’accesso a queste ultime, penetrando all’interno della rete informatica della società presa di mira.
Complessivamente, la quantità di spam nocivo presente nei flussi e-mail è risultata leggermente superiore a quanto per essa riscontrato nel trimestre precedente. Nel secondo trimestre del 2017, il numero dei rilevamenti eseguiti dal nostro modulo antivirus dedicato alla posta elettronica ha fatto registrare un aumento del 17% rispetto all’analogo valore che ha caratterizzato il primo trimestre dell’anno in corso.
Numero di rilevamenti effettuati dal componente e-mail dell’antivirus presso i clienti di Kaspersky Lab – 1° e 2° trimestre del 2017 a confronto
Continua ad essere attiva la botnet Necurs
La famigerata botnet Necurs continua ad essere all’opera, ma i volumi dei mailing di spam da essa distribuiti sono risultati sensibilmente inferiori rispetto a quanto rilevato nell’anno 2016. Il “lavoro” svolto dalla botnet è caratterizzato da periodi di inattività e da periodi in cui si registrano dei veri e propri picchi, quando rileviamo fino a 2 milioni di messaggi e-mail al giorno, inviati ai clienti di Kaspersky Lab. Oltre ai mailing dannosi, Necurs invia in maniera particolarmente attiva messaggi di spam attraverso i quali viene attuato lo schema malevolo “pump-and-dump”, volto a gonfiare ad arte i prezzi relativi ad azioni a bassa capitalizzazione. Necurs distribuisce ugualmente considerevoli quantità di spam orientato agli incontri online.
Il contenuto dei messaggi e-mail nocivi provenienti dalla botnet Necurs è estremamente laconico; in genere essi recano, in qualità di allegato, file in formato DOC, PDF ed altri ancora. Talvolta, al posto degli allegati, i messaggi presentano link destinati a condurre il destinatario verso determinati servizi di cloud storage, quali, ad esempio, Dropbox, da cui vengono poi scaricati file maligni.
Sfruttamento di servizi online legittimi per l’invio di spam
Nell’analogo report relativo al trimestre precedente avevamo già riferito in merito al fatto che, per eludere l’azione protettiva svolta dai filtri, gli spammer ricorrono spesso all’invio dei propri messaggi attraverso servizi online del tutto legittimi. Può trattarsi, ad esempio, degli appositi campi “Invita i tuoi amici”, presenti in vari social network, così come dei commenti, le cui notifiche giungono, poi, nelle e-mail box degli utenti; si aggiungono, a tale elenco, form di ogni genere, presenti nei siti web più disparati, che consentono di inviare i messaggi ad un determinato elenco di utenti. Questo tipo di spam è sicuramente più difficile da individuare, proprio per la sua origine legittima; inoltre, esso si rivela particolarmente “utile”, agli spammer, anche per il fatto che, in base al tipo di sito web utilizzato, consente di raggiungere facilmente un target ben specifico. Gli spammer, ad esempio, utilizzano in tal modo i siti dedicati alla ricerca di lavoro, per inviare le più svariate proposte di facili guadagni, oppure diffondere frodi di natura finanziaria:
Frodi con i domini
Nel trimestre oggetto del presente report sono stati da noi individuati alcuni mailing di spam di natura malevola nell’ambito dei quali il tentativo di frode era in vari modi collegato ai domini inerenti alle società in cui operavano i destinatari delle e-mail.
Uno di questi mailing è risultato essere condotto a nome di un’importante società che si occupa della registrazione dei nomi di dominio. Nei messaggi facenti parte del mailing in questione, indirizzati agli amministratori dei domini registrati in precedenza, si sottolineava la necessità di dover “attivare” il dominio per confermare il proprio status di amministratore e la possibilità di gestire il dominio. Si rimarcava, inoltre, che tali misure erano state prese in conformità alle modifiche apportate al regolamento dell’ICANN (Internet Corporation for Assigned Names and Numbers).
Per fare quanto richiesto, l’amministratore avrebbe dovuto creare, nella directory root del sito interessato, entro un certo termine di tempo, un file PHP con un determinato contenuto. Nel messaggio si affermava, infine, che se non fossero state applicate, entro i termini stabiliti, le condizioni indicate, non sarebbe stata effettuata la procedura di conferma, e sarebbe quindi stata interrotta la manutenzione del dominio.
Se lo script presente nelle e-mail esemplificative qui sopra riprodotte fosse stato eseguito sul sito della vittima, i malintenzionati avrebbero potuto assumere il controllo del sito stesso, ed ottenere quindi la possibilità di lanciare l’esecuzione di qualsiasi tipo di codice. Lo script in questione, inoltre, consente ugualmente di poter raccogliere tutti i dati dell’utente introdotti nel sito web, laddove lo script viene inserito ed eseguito. Considerando il fatto che un consistente numero di falsi messaggi è stato inviato ad indirizzi e-mail di banche, è lecito presupporre che i malintenzionati intendessero ottenere l’accesso ai dati introdotti nel sito della banca, tra cui, ad esempio, login e password utilizzati per le operazioni di Internet banking.
Un ulteriore tipo di frode relativa ai domini, da noi individuato, si è rivelato essere ugualmente rivolto agli amministratori. Nella circostanza, sull’indirizzo admin della società è giunto un messaggio in cui si raccomandava di effettuare la registrazione del dominio sui search engine, allo scopo di facilitare la ricerca della società da parte di potenziali clienti. Tali messaggi provenivano da indirizzi generati su servizi di hosting gratuito.
Il servizio in causa, sopra descritto, veniva fornito a pagamento. Per ricevere l’elenco dei vari piani tariffari previsti, ed i relativi costi, l’utente avrebbe dovuto cliccare sul link indicato nel messaggio, “ospitato” in un sito del tutto legittimo. Poi, una volta scelto il piano tariffario più adatto e “conveniente”, si sarebbe dovuto compilare ed inviare una sorta di form-ricevuta, all’interno del quale – dietro esplicita richiesta dei truffatori – si sarebbero dovuti inserire dati personali dettagliati, incluso i dati relativi alla carta di credito.
Le statistiche del secondo trimestre 2017
Quota di spam nel traffico di posta elettronica
Quote percentuali di spam rilevate nel traffico di posta elettronica mondiale – 1° e 2° trimestre 2017 a confronto
Nel secondo trimestre del 2017, all’interno dei flussi di posta elettronica globali, la quota più elevata di messaggi e-mail indesiderati è stata riscontrata nel mese di aprile — 57,99%. Complessivamente, nel periodo qui preso in esame, l’indice relativo ai messaggi di spam presenti nel traffico e-mail mondiale si è attestato su un valore medio pari al 56,97% del volume totale dei messaggi di posta circolanti in Rete; tale quota si è quindi rivelata superiore di 1,07 punti percentuali rispetto all’analogo valore per essa rilevato nel trimestre precedente.
Geografia delle fonti di spam
Geografia delle fonti di spam rilevate nel secondo trimestre del 2017 – Graduatoria su scala mondiale
Nel secondo trimestre del 2017, nell’ambito della “trojka” dei paesi leader della speciale classifica relativa alle fonti geografiche dello spam mondiale – riguardante i paesi dal cui territorio sono state distribuite in Rete, verso tutti e cinque i continenti, le maggiori quantità di e-mail indesiderate – sono intervenuti alcuni significativi cambiamenti. Osserviamo, in primo luogo, come la leadership della graduatoria in questione sia andata ad appannaggio del Vietnam, il cui indice ha raggiunto un valore pari al 12,37%. Sul secondo gradino del “podio” virtuale – con un lieve gap percentuale – si sono collocati gli Stati Uniti, leader dell’analogo rating relativo al primo trimestre del 2017; nel periodo qui analizzato, la quota ascrivibile al paese nordamericano (10,1%) ha fatto registrare, rispetto al trimestre precedente, una sensibile diminuzione, pari a 8,65 punti percentuali. Così come in precedenza, chiude la TOP 3 dei paesi che sono risultati essere le principali fonti dello spam mondiale, la Cina; nell’arco di tre mesi, la quota riconducibile al paese dell’Estremo Oriente ha fatto complessivamente registrare un incremento dell’1,19%, e si è in tal modo attestata all’8,96%.
Alla quarta piazza della graduatoria da noi stilata incontriamo poi l’India (+ 3,61%), con una quota pari all’8,77%. La quinta posizione del ranking risulta occupata dalla Germania (- 0,31% rispetto al trimestre precedente), la cui quota è risultata pari al 5,06%.
Al sesto posto troviamo la Russia: l’indice percentuale inerente allo spam diffuso dal territorio della Federazione Russa si è attestato su un valore pari al 4,99%, ovvero appena 0,06 punti percentuali in meno rispetto all’analoga quota registrata, per tale paese, nel periodo oggetto del precedente report trimestrale.
Sono inoltre entrati a far parte delle prime dieci posizioni del rating qui sopra inserito i seguenti paesi: Brasile (4,47%), Francia (4,35%), Iran (2,49%); chiudono infine la speciale TOP 10 i Paesi Bassi, con una quota di spam pari all’1,96%.
Dimensioni dei messaggi di spam
Dimensioni delle e-mail di spam – 1° e 2° trimestre 2017 a confronto
Nel secondo trimestre del 2017, all’interno dei flussi globali di spam, ha fatto registrare una lieve variazione, rispetto a tre mesi fa, la quota relativa ai messaggi di posta elettronica aventi dimensioni estremamente contenute (sino a 2 kilobyte); tale indice ha in effetti raggiunto un valore medio del 37,41%, ovvero 1,9 punti percentuali in più rispetto all’analoga quota riscontrata nel primo trimestre dell’anno in corso. Risulta invece pressoché invariata la quota inerente alle e-mail indesiderate con dimensioni comprese tra i 2 Kb ed i 5 Kb; in effetti, così come nel trimestre precedente, l’indice attribuibile ai messaggi di spam aventi tali dimensioni ha fatto segnare un valore pari al 4,54%. È invece diminuita in maniera significativa (- 1,36%), rispetto al primo trimestre del 2017, la quota inerente alle e-mail indesiderate le cui dimensioni vanno dai 5 Kb ai 10 Kb.
L’indice percentuale relativo ai messaggi di spam aventi dimensioni tra i 10 Kb ed i 20 Kb si è attestato al 18,31%; rileviamo, inoltre, che le quote riguardanti le e-mail “spazzatura” dai 20 ai 50 Kb, e dai 50 ai 100 Kb, sono risultate pari, rispettivamente, al 27,16% ed al 4,16%. Segnaliamo, infine, che l’indice attribuibile ai messaggi “spazzatura” con dimensioni oltre i 100 Kb ha fatto segnare un valore leggermente superiore ai due punti percentuali.
Allegati maligni: le famiglie di malware maggiormente diffuse
TOP 10 relativa alle famiglie di malware
TOP 10 relativa alle famiglie di malware maggiormente diffuse nel traffico e-mail globale – Situazione riguardante il secondo trimestre del 2017
Nel trimestre oggetto del presente report, la famiglia di software nocivi maggiormente diffusa nel traffico e-mail mondiale si è rivelata essere Trojan-Downloader.JS.SLoad (8,73%). Segue, all’interno della speciale graduatoria, Trojan-Downloader.MSWord.Agent (3,31%). Al terzo posto del rating incontriamo, così come in precedenza, la famiglia di malware denominata Trojan-PSW.Win32.Fareit (3,29%).
La quarta posizione risulta poi occupata dalla famiglia Trojan-Downloader.JS.Agent (3,05%). Chiude la TOP 5 da noi stilata la famiglia di malware classificata come Worm.Win32.WBVB (2,59%).
Rileviamo, inoltre, all’interno delle prime dieci posizioni del rating, la presenza di due “new entry”. Si tratta, più precisamente, delle famiglie Backdoor.Java.QRat (1,91%) e Trojan.PDF.Phish (1,66%), le quali sono andate ad occupare, rispettivamente, la settima e la nona piazza della graduatoria.
Backdoor.Java.QRat è, di fatto, una backdoor multifunzionale, di tipo cross-platform, scritta in linguaggio Java e venduta negli oscuri meandri della Darknet nello specifico formato “Malware-as-a-Service” (MaaS). In genere, i software dannosi riconducibili a tale famiglia vengono distribuiti attraverso i flussi di posta elettronica, sotto forma di allegati provvisti di estensione JAR.
Trojan.PDF.Phish, da parte sua, si presenta camuffato sotto forma di documento con estensione PDF, al cui interno si trova un link malevolo adibito a condurre verso un sito web di phishing, dove verrà proposto, all’utente-vittima, di inserire le proprie credenziali – login e password –, relative ad account collegati a servizi online di vario genere.
Paesi maggiormente bersagliati dai mailing di massa maligni
Ripartizione per paesi dei rilevamenti eseguiti dall’antivirus e-mail nel corso del secondo trimestre del 2017
Nel secondo trimestre del 2017, la quota percentuale più elevata, in termini di rilevamenti effettuati dal nostro modulo antivirus dedicato alla posta elettronica, è stata fatta registrare dalla Germania (12,71%). Il secondo gradino del “podio” virtuale risulta occupato dalla Cina (12,09%), leader dell’analoga graduatoria relativa al trimestre precedente. Al terzo posto del rating qui esaminato è andata nuovamente a collocarsi la Gran Bretagna, con una quota pari al 9,11%.
Alla quarta piazza troviamo, poi, il Giappone (5,87%). La Russia, da parte sua, occupa la quinta posizione, avendo fatto registrare, complessivamente, un indice pari a 5,67 punti percentuali. Seguono, all’interno della speciale classifica geografica da noi elaborata, Brasile (4,99%), Italia (3,96%), Vietnam (3,06%) e Francia (2,81%).
Chiudono infine la TOP 10 gli Stati Uniti; la quota inerente agli USA si è attestata su un valore pari al 2,31%.
Phishing
Nel secondo trimestre del 2017, grazie al sistema “Anti-phishing” sono stati prevenuti e neutralizzati ben 46.557.343 tentativi, da parte dell’utente, di accedere a pagine web di phishing. In totale, lungo tutto l’arco del trimestre qui preso in esame, è stato attaccato, dai phisher, l’8,26% del numero complessivo di utenti unici dei prodotti Kaspersky Lab, ubicati nei vari paesi del globo.
Geografia degli attacchi
Nel secondo trimestre dell’anno in corso, la quota percentuale più elevata di utenti sottoposti ad attacco da parte dei phisher è stata osservata in Brasile (18,09%). L’indice relativo al paese sudamericano ha tuttavia fatto registrare un lieve decremento, pari all’1,07%.
Ripartizione geografica degli attacchi di phishing* – Situazione relativa al secondo trimestre del 2017
* Quote percentuali relative al numero di utenti sui computer dei quali si sono registrati rilevamenti da parte del sistema “Anti-phishing”, rispetto al numero complessivo di utenti dei prodotti Kaspersky Lab nel paese.
Il secondo posto della speciale graduatoria è andato ad appannaggio della Cina (12,85%); la quota relativa al paese dell’Estremo Oriente risulta comunque notevolmente diminuita (- 7,24 punti percentuali) rispetto all’analogo valore per essa riscontrato nel trimestre precedente. Sul terzo gradino del “podio”, per quel che riguarda il secondo trimestre del 2017, troviamo l’Australia (12,69%), la cui quota ha invece fatto segnare un significativo incremento, pari all’1,96%. La percentuale di utenti sottoposti ad attacchi di phishing sul territorio della Nuova Zelanda ha raggiunto il 12,06% (+ 0,12%), mentre in Azerbaijan tale specifico parametro si è attestato su un valore pari all’11,48%. Le ultime tre posizioni del rating inerente al secondo trimestre risultano occupate, rispettivamente, da Repubblica Sudafricana (9,38%), Argentina (9,35%) e Gran Bretagna (9,29%).
Rileviamo, infine, come la Russia, con una quota dell’8,74%, non faccia più parte della TOP 10 da noi stilata; la Federazione Russa, in soli tre mesi, è in effetti scesa al 18° posto del ranking.
| Brasile | 18,09% |
| Cina | 12.85% |
| Australia | 12,69% |
| Nuova Zelanda | 12,06% |
| Azerbaijan | 11,48% |
| Canada | 11,28% |
| Qatar | 10, 68% |
| Venezuela | 10,56% |
| Repubblica Sudafricana | 9,38% |
| Argentina | 9,35% |
| Gran Bretagna | 9,29% |
TOP 10 relativa ai paesi in cui sono state riscontrate le quote percentuali più elevate di utenti sottoposti ad attacchi di phishing
Quadro delle organizzazioni sottoposte agli attacchi di phishing
Graduatoria delle organizzazioni – suddivise in categorie – prese di mira dai phisher
La graduatoria delle organizzazioni (ripartite per categorie) i cui clienti sono risultati bersaglio prediletto degli assalti di phishing si basa sui rilevamenti eseguiti, sui computer degli utenti, dal componente euristico del sistema “Anti-phishing”. Tale componente è in grado di rilevare le pagine web che presentano contenuti di phishing – sulle quali l’utente si imbatte cliccando sui link malevoli presenti nei messaggi e-mail oppure sui link nocivi disseminati nel World Wide Web – se i collegamenti ipertestuali che conducono a tali pagine non risultano ancora inseriti nei database di Kaspersky Lab. Nella circostanza, non riveste alcuna importanza la specifica modalità attraverso la quale viene effettuato il click, da parte dell’utente, su tale collegamento: può in effetti trattarsi sia di un click eseguito su un link presente in un’e-mail di phishing, oppure in un messaggio inserito all’interno di un social network – sia di una situazione determinata dall’attività dannosa svolta da un programma malware. Non appena il sistema di protezione qui sopra descritto entra in azione, l’utente visualizza sul proprio browser un apposito banner di avvertimento riguardo alla possibile minaccia cui sta per andare incontro.
Nel secondo trimestre del 2017, oltre la metà (51,47%) dei rilevamenti eseguiti dal componente euristico del sistema “Anti-phishing” è stata generata da pagine web di phishing in cui si menzionavano brand appartenenti alle varie categorie che tradizionalmente compongono il raggruppamento tematico “Finanze”, ovvero “Banche” (23,49%; – 2,33%), “Sistemi di pagamento” (18,40%; + 4,8%), “Negozi Internet” (9,58%; – 1,31%).
Ripartizione per categorie delle organizzazioni sottoposte agli attacchi di phishing nel corso del secondo trimestre del 2017
I temi “caldi” del trimestre
Biglietti aerei “gratis”
Nel secondo trimestre dell’anno in corso, il social network Facebook è stato letteralmente invaso da una vera e propria ondata di post degli utenti relativi alla “vincita” di due biglietti aerei gratuiti, messi (apparentemente!) a disposizione da note compagnie aeree di tutto il mondo. Naturalmente, non si è verificata, in realtà, alcuna iniziativa o campagna del genere, volta ad elargire veramente, attraverso il social network in questione, biglietti aerei in forma gratuita; per contro, i malintenzionati di turno hanno creato numerosi siti web malevoli, dove gli utenti sono stati inizialmente accolti dallo strabiliante messaggio in cui si comunicava, congratulandosi, che i “fortunati” avevano “vinto” ben due biglietti aerei; per ottenere l’ambito premio, tuttavia, occorreva prima compiere tutta una serie di azioni. Una delle condizioni espressamente richieste prevedeva che l’utente avrebbe dovuto collocare sulla propria pagina Facebook, attraverso la condivisione, le informazioni riguardanti l’iniziativa promozionale, inserendo inoltre, nell’apposito campo, un commento in cui si ringraziava la compagnia aerea per la gentile “concessione” dei biglietti. Una volta compiute tutte le azioni indicate, la vittima veniva poi reindirizzata verso uno dei siti web appositamente allestiti dai malintenzionati. Il contenuto presente su tali pagine web è risultato essere di vario genere: dalle pubblicità del tutto “innocue” alla distribuzione furtiva di programmi malware.
Il falso blocco del browser
Quasi tutti i browser più diffusi sono dotati di apposita protezione “built-in” nei confronti delle minacce web. Quando si clicca su un link destinato a condurre verso un sito Internet dannoso, o verso una pagina web di phishing, i browser, attraverso apposite notifiche, avvertono spesso l’utente riguardo al possibile pericolo cui va incontro, e raccomandano di evitare la visita di tali “risorse” online.
Vari malintenzionati, tuttavia, sfruttano a loro favore, per scopi malevoli, il concetto di protezione integrata di cui sono provvisti i programmi di navigazione, e cercano di eludere la vigilanza normalmente esercitata dall’utente con minacciosi avvertimenti riguardo all’imminente pericolo, allo scopo di spaventare la potenziale vittima, e distogliere così l’attenzione della stessa. I malfattori imitano, ad esempio, la pagina di blocco che appare sul browser Chrome. Molto probabilmente, l’utente che ha già visualizzato, almeno una volta, tale notifica del browser, sarà propenso a reagire con un atteggiamento fiducioso nei confronti di tale pagina di avviso, e seguirà quindi i “consigli” indicati dai cybercriminali.
L’elemento di maggior pericolosità, riguardo a tali pagine, risiede nel fatto che, nella circostanza, non potrà nemmeno essere esaminato con attenzione ciò che appare nella barra degli indirizzi, visto che l’avvertimento lanciato dal browser compare immediatamente nell’ambito di siti web non attendibili.
La notifica può tuttavia apparire anche quando si cerca di accedere a domini appartenenti a società che svolgono la funzione di servizio hosting. In tal caso, simili avvertimenti riescono a risultare ancor più credibili e convincenti, per la potenziale vittima:
In genere, telefonando ai numeri indicati sulle notifiche in questione, l’utente si imbatterà in qualche servizio di assistenza fasullo, il cui unico scopo sarà quello di carpire del denaro alla vittima, proponendo servizi in apparenza necessari.
La codifica Punycode
Un attento esame della barra degli indirizzi può non rivelarsi di aiuto anche nel caso specifico in cui i phisher ricorrano all’utilizzo di caratteri non appartenenti all’alfabeto latino, ma simili alle lettere latine, per la creazione di nomi di dominio che “ripetono” in maniera piuttosto precisa i nomi assegnati a noti siti web. Come è noto, i browser web utilizzano la codifica Punycode per rappresentare i caratteri Unicode nell’URL; tuttavia, se tutti i caratteri che compongono il nome di dominio appartengono ad un set di caratteri di una determinata lingua, il browser riprodurrà gli stessi non in formato Punycode, ma nella lingua specifica.
Lo screenshot esemplificativo qui di seguito riportato, relativo ad una pagina di phishing, illustra chiaramente il metodo malevolo adottato, nella circostanza, dai malintenzionati.
In alcuni casi, esaminando la barra degli indirizzi con particolare attenzione, è possibile rilevare qualche incongruenza; qui, ad esempio, si nota la presenza di uno strano punto sotto la lettera “е”.
Prestate adesso attenzione al banner attraverso il quale è stato bloccato il sito: l’URL presente su di esso è riprodotto tramite il meccanismo di codifica Punycode, e si differenzia, di fatto, da quello che vediamo sulla barra degli indirizzi del browser. Non si tratta in alcun modo, come si può vedere, di un dominio appartenente ad una nota società.
Dal punto di vista tecnico, l’indirizzo risulta completamente diverso da quello originale. I phisher, anche in precedenza, si sono avvalsi di varie codifiche, per quel che riguarda la denominazione delle pagine. Per gli utenti ordinari, ovviamente, riconoscere tale genere di phishing può davvero costituire un problema.
Attacco nei confronti degli utenti di Uber
Una delle notizie più eclatanti, riguardo a quanto è avvenuto nel corso del trimestre qui preso in esame, è di sicuro rappresentata dall’attacco portato nei confronti degli utenti dei servizi offerti dalla società Uber. Nella circostanza, le pagine di phishing sono state distribuite per mezzo di appositi mailing di spam, attraverso i quali si prometteva, ai destinatari dei messaggi, un sostanzioso sconto; l’unica cosa che occorreva fare, per “usufruirne”, era quella di completare una procedura di “registrazione”, indicando, oltre ai dati personali, anche i dati relativi alla carta di credito. Una volta compilato il modulo, l’utente sarebbe stato rediretto sul sito web legittimo della suddetta società.
Dal momento che Uber conduce spesso campagne promozionali, ed offre sconti sui servizi forniti, è lecito presupporre che un certo numero di utenti, interessati dall’invio delle e-mail fraudolente di phishing, possa anche non aver avuto dubbi riguardo all’autenticità dell’offerta ricevuta.
TOP 3 relativa alle organizzazioni maggiormente sottoposte ad attacchi di phishing
I massicci attacchi condotti dai phisher sono rivolti, prevalentemente, ai brand che godono di maggior popolarità in Rete. Basti pensare, a tal proposito, che più della metà dei rilevamenti effettuati dal nostro sistema “Anti-phishing” riguarda, complessivamente, pagine web di phishing che intendono sfruttare in maniera indebita il nome e la popolarità di “sole” 15 note società ed organizzazioni.
| Organizzazione | % di rilevamenti eseguiti |
| 8,33 | |
| Microsoft Corporation | 8,22 |
| Yahoo! | 8,01 |
Rileviamo, innanzitutto, come la composizione della TOP 3 da noi stilata sia rimasta di fatto invariata per il terzo trimestre consecutivo. Tuttavia, mentre nel trimestre precedente la leadership dell’importante graduatoria in questione – relativa ai principali obiettivi degli assalti compiuti dai phisher, e basata sulle quote percentuali inerenti alle menzioni rilevate, per tali brand, sulle pagine di phishing – era nuovamente andata ad appannaggio della società Yahoo!, l’analoga graduatoria del secondo trimestre dell’anno in corso evidenzia come il noto portale di servizi Internet sia invece scivolato sul gradino più basso del “podio” virtuale, andando così ad occupare la terza piazza del rating. Al primo posto della speciale graduatoria troviamo, pertanto, le pagine di phishing in cui è stato fatto illecitamente ricorso all’utilizzo del brand Facebook (8,33%). Osserviamo, infine, che la seconda posizione del ranking risulta occupata da Microsoft, con una quota pari all’8,22%.
Uno dei trucchi più astuti, tra quelli abitualmente praticati dai phisher, consiste nel collocare pagine contraffatte, in cui si menzionano organizzazioni e società particolarmente popolari, su domini appartenenti a società che godono ugualmente di grande popolarità presso il pubblico degli utenti della Rete. Nell’esempio qui sotto riportato, il link conduce, di fatto, ad un servizio di hosting gratuito, che non tutti gli utenti possono conoscere; nella circostanza, la presenza del brand Google ha il preciso scopo di aumentare il grado di fiducia di colui che visualizza la pagina.
Lo stesso form utilizzato per l’inserimento dei dati viene di solito posizionato su un altro dominio, al quale si accederà dopo aver cliccato sull’apposito pulsante.
Conclusioni
Nel secondo trimestre del 2017, la quota relativa alle e-mail di spam presenti nei flussi di posta elettronica globali si è attestata su un valore medio pari al 56,97% del volume totale dei messaggi e-mail circolanti in Rete, facendo registrare un lieve aumento (+ 1,07%) rispetto all’analogo indice rilevato riguardo al primo trimestre dell’anno in corso. Non è di certo passato inosservato, agli occhi degli spammer, uno degli eventi di maggior rilievo del trimestre qui preso in esame: la grave epidemia informatica generata dal ransomware WannaCry. Attraverso appositi mailing di massa, in effetti, sono state inoltrate numerose offerte di aiuto nella lotta contro il famigerato malware estorsore; sono stati inoltre annunciati seminari e corsi per gli utenti.
Per quel che riguarda i programmi malware, nel trimestre oggetto del presente report, la famiglia di software nocivi maggiormente diffusa nel traffico e-mail mondiale si è rivelata essere lo script-downloader JS.SLoad (8,73%). Il secondo posto della speciale classifica è andato ad appannaggio di un altro downloader, MSWord.Agent, con una quota pari al 3,31%; chiude la composizione della “trojka” dei leader della TOP 10 da noi stilata la famiglia di Trojan denominata Fareit (3,29%).
Grazie al sistema “Anti-phishing” sono stati prevenuti e neutralizzati oltre 46,5 milioni di tentativi, da parte degli utenti, di accedere a pagine web di phishing. In totale, lungo tutto l’arco del trimestre, è stato attaccato, dai phisher, l’8,26% del numero complessivo di utenti unici dei prodotti Kaspersky Lab, ubicati nei vari paesi del globo. Mentre in precedenza tali attacchi intendevano sfruttare l’eventuale disattenzione dell’utente, e le non eccelse competenze informatiche possedute da una certa parte del pubblico di Internet, con il progressivo aumento del livello di conoscenza – da parte degli utenti – delle tematiche relative alla sicurezza IT, i phisher si sono visti costretti ad escogitare nuovi trucchi e sotterfugi. Uno di essi consiste, ad esempio, nel collocare le pagine web di phishing all’interno di domini appartenenti a note organizzazioni.