Secondo il report di Kaspersky Lab “Spam and phishing in Q1 2017”, la botnet più estesa al mondo, Necurs, ha ridotto sensibilmente le sue attività fraudolente. A dicembre 2016, infatti, Kaspersky Lab aveva individuato 35 milioni di email nocive, mentre a marzo 2017 il numero è sceso a 7.000.
Il report sullo spam di Kaspersky Lab ha, inoltre, rilevato i seguenti trend relativi al primo trimestre del 2017:
- La quota globale di spam ammontava, in media, a circa il 56% del traffico email del primo trimestre, paragonato al 59,9% del quarto trimestre del 2016;
- Il numero totale di allegati dannosi nel traffico email ha registrato un calo di 2,4 volte rispetto al trimestre precedente;
- Più della metà di tutti gli attacchi di phishing mirava al settore finanziario, tra cui banche (circa il 26%), sistemi di pagamento (più del 13%) e siti per lo shopping online (circa l’11%).
Il declino della botnet Necurs
Nel 2016, i ricercatori di Kaspersky Lab hanno rilevato un forte aumento dello spam con allegati dannosi, soprattutto di encryptor. La maggior parte di questo traffico proveniva dalla botnet Necurs, che è attualmente considerata la più estesa botnet di spam al mondo. Tuttavia, a fine dicembre 2016, la diffusione si è praticamente interrotta e non solamente per le vacanze di Natale. Lo spam della botnet è rimasto ad un livello molto basso per quasi tutto il primo trimestre del 2017.
Sembra che i criminali siano stati spaventati dal crescente interesse per gli encryptor e abbiano deciso di sospendere l’invio di email di massa. Tuttavia, è impossibile che questa decisione porti all’estinzione di questo vettore d’attacco.
Email dannose con file protetti da password
Nel primo trimestre del 2017 gli spammer hanno affinato le loro tecniche anti-rilevamento in diversi modi. Ad esempio, hanno celato i loro malware in file protetti da password. Una volta che l’utente riceveva l’email, gli hacker lo inducevano ad aprire e archiviare il file come al solito. Gli spammer imitavano le email di notifica degli ordini di grandi aziende retail, l’invio di informazioni sulle transazioni e di CV, o promettendo ingenti somme di denaro. Spesso le email venivano inviate per conto di alcune piccole e medie imprese realmente esistenti, con firme e contatti che provavano l’affidabilità del mittente.
Una volta che la vittima apriva i documenti, veniva attivato uno script nocivo, che scaricava un malware sul computer. I payload del malware erano diversi e includevano ransomware, spyware, backdoor o una nuova versione del famigerato trojan Zeus.
Lo spam attraverso servizi legali
I moderni filtri anti-spam gestiscono efficacemente il problema del rilevamento dello spam via email. Questo spinge gli hacker a cercare nuovi canali per superare le barriere. Si stanno così concentrando sempre di più sulle app di messaggistica e sui social network per diffondere le loro pubblicità e le offerte dannose.
I messaggi privati sono solitamente accompagnati da notifiche via email al destinatario. In questo modo, l’intestazione dell’email sarà considerata legittima, diversamente dalle solite email di spam. Di conseguenza, sarà possibile individuare lo spam solo attraverso un’analisi del contenuto del messaggio. Si tratta di un compito molto più difficile, specialmente se si considera la fonte legale dell’informazione e se l’indirizzo del servizio è incluso nell’elenco dei destinatari affidabili.
“All’inizio del 2017 abbiamo assistito a diversi cambiamenti nel flusso di spam, incluso un drastico calo nell’invio di email di massa dannose da parte della più estesa botnet di spam al mondo. Inoltre, i gruppi criminali stanno sviluppando nuove tecniche e trucchi anti-rilevamento, espandendosi su piattaforme legali di comunicazione e usando allegati protetti da password. Molto probabilmente questa strategia continuerà, grazie al fatto che i documenti protetti da password sono facilmente considerati legittimi dalle vittime e non possono essere scansionati dalle soluzioni di sicurezza IT”, ha affermato Darya Gudkova, Spam Analyst Expert di Kaspersky Lab.
“Per i criminali inviare spam a migliaia di indirizzi email è relativamente semplice ed economico. Inoltre, le email rappresentano ancora il principale strumento di comunicazione per le aziende di ogni dimensione. Sebbene si tratti di un vecchio nemico e molte aziende abbiano già implementato dei filtri, lo spam viene ora utilizzato in nuovi modi che lo rendono ancora più pericoloso e capace di evitare il rilevamento. Come dimostrato dalle nostre statistiche, i criminali usano lo spam per diffondere payload più dannosi come malware e ransomware o per veicolare attacchi di phishing. I criminali sono creativi e cercano costantemente nuovi modi per truffare gli utenti ed evitare di essere scoperti”, ha commentato Morten Lehn, General Manager Italia di Kaspersky Lab. “Noi di Kaspersky Lab collaboriamo con i nostri partner per informare e aiutare i loro clienti a proteggersi dalle botnet che diffondono spam e dalle nuove minacce ad esse collegate”.
