Il termine malspam, acronimo di malware spam, viene usato per indicare il malware che viene inviato tramite messaggi di posta elettronica, con modalità quindi simili a quelle dello spam. Vediamo le minacce da cui guardarsi al momento e qualche consiglio utile per difendersi.
Indice degli argomenti
Malspam: il malware si diffonde con la posta elettronica
Anche se non si hanno riferimenti temporali certi in merito alla prima campagna di diffusione di malware mediante la posta elettronica, possiamo comunque indicare il mass-mailing virus Melissa, del 1999, come il primo malware ampiamente distribuito via e-mail. Melissa scansionava le liste di contatti e-mail e procedeva all’invio di una copia di sé stesso ai primi 50 contatti all’interno della rubrica. Inoltre, si distingueva dai virus già diffusi in quel periodo perché non provava a distruggere file o altre risorse archiviate nel computer della vittima: il suo codice malevolo aveva invece il potenziale per disabilitare i server di posta aziendale e di altro tipo consumando risorse e cercando contatti aggiuntivi per inviare copie del virus ad altri.
Sebbene i danni della campagna di infezione furono relativamente limitati, Melissa dimostrò che la posta elettronica era un metodo praticabile da parte dei criminal hacker per distribuire facilmente, in breve tempo e praticamente a costo zero, allegati dannosi a utenti ignari.
La conferma, qualora ce ne fosse bisogno, arrivò l’anno successivo con l’identificazione del worm ILoveYou, che in poco tempo riuscì ad infettare milioni di computer in tutto il mondo causando danni per miliardi di dollari.
Da quel momento, la posta elettronica divenne il vettore primario per la consegna di malware e purtroppo ci sono pochi segnali che la tendenza stia rallentando: una recente ricerca in merito, portata avanti dagli analisti di The Radicati Group, indica che ogni giorno vengono inviate circa 205 miliardi di email. Di queste, secondo l’ITU (International Telecommunication Union, l’Unione internazionale delle telecomunicazioni), circa l’80% sono di spam. Anche se è difficile identificare un numero esatto di e-mail che consegnano malspam, è evidente il motivo per cui gli autori di malware continuano ad utilizzare proficuamente questo canale di infezione.
Attacchi mirati o a tappeto: il malspam non fa distinzione
I metodi di attacco portati avanti mediante campagne di malspam possono essere dei più diversi: si va dagli attacchi cosiddetti “a tappeto”, che coprono milioni di indirizzi acquistati da fornitori di account e-mail facilmente rintracciabili sul Dark Web, a campagne mirate altamente sofisticate, che coprono uno o due destinatari, in genere grandi organizzazioni internazionali o importanti aziende.
E purtroppo, non ci sono limiti o restrizioni ai tipi di malware che possono essere inviati via e-mail. I più comuni sono sicuramente i seguenti:
- ransomware
- trojan/bot
- info stealers
- spyware/click-hijacker
Tra questi, sicuramente i più diffusi e pericolosi sono i ransomware. Nessuno può dimenticare l’enorme diffusione e i danni ingenti causati da WannaCry, Petya e NotPetya. Ultimamente, poi, ha fatto molto parlare di sé la nuova variante del ransomware Rakhni che, oltre alle tipiche funzionalità di questo genere di malware, aggiunge anche quella di miner di criptovalute. Il ransomware, in particolare, è in grado di analizzare le caratteristiche hardware e software del PC infettato e, in base alla potenza di calcolo disponibile, decidere se avviare il modulo di cifratura dei dati o quello per la creazione e l’estrazione di diverse tipologie di criptovalute. Il malspam usato per diffondere Rakhni ha in allegato un file Word con estensione .docx utilizzato per nascondere quello che appare come un documento PDF embedded. Un incauto doppio clic sull’icona del documento non fa altro che avviare l’eseguibile malevolo mascherato da prodotto Adobe allo scopo di indurre l’utente a consentire il permesso per l’esecuzione del codice malevolo.
Banking trojan Ursnif: il malspam che sta colpendo l’Italia
Altre campagne di malspam hanno portato alla diffusione di pericolose minacce che hanno preso di mira soprattutto il nostro Paese. Tra tutte, possiamo ricordare la variante del trojan Gootkit, il cui scopo è quello di rubare dati bancari.
L’ultima campagna di malspam che sta ancora interessando l’Italia, infettando soprattutto i computer di aziende e pubbliche amministrazioni, sfrutta falsi riferimenti e contenuti di inesistenti sentenze legali ed è stata individuata dai ricercatori di cyber security di Yoroi. Mediante la diffusione massiccia di email malevoli, i criminal hacker riescono ad inoculare nei computer delle vittime una nuova variante del banking trojan Ursnif. In particolare, in questa nuova versione del malware i criminal hacker hanno modificato l’oggetto che ora parla di una presunta “relazione di notifica decreto #3221589261 del 13 agosto”. Nel testo del messaggio, invece, un fantomatico avvocato Roberto Pecchioli di Valenza scrive per conto del suo assistito, legato all’AIPA, per comunicare il link ad un documento Word contenente la suddetta notifica. Cliccando sul collegamento indicato, la vittima non fa altro che scaricare un archivio in formato ZIP contenente a sua volta un’immagine casuale usata a scopo diversivo e un file con estensione .vbs che innesca la catena di infezione del banking trojan.
Difendersi dal malspam: i consigli per le aziende
Le conseguenze di un’infezione proveniente da malspam dipendono, ovviamente, dal tipo di malware ricevuto. Non esiste, quindi, una regola di difesa precisa contro questo tipo di minaccia, per cui occorre mantenere sempre alta la guardia.
Nel caso del banking trojan Ursnif, ad esempio, è facile capire che ci si trova di fronte ad una email falsa analizzando con attenzione il testo del messaggio, magari aiutandosi con una veloce ricerca su Internet. In questo modo, ad esempio, si scopre che non c’è nessun avvocato di nome Roberto Pecchioli iscritto all’albo dei professionisti di Alessandria (nel cui territorio provinciale ricade la cittadina di Valenza). Così come fasullo è l’indirizzo Web dell’associazione AIPA a cui appartiene il suo assistito: quello reale, infatti, ha il dominio .info e non il .it indicato nel malspam.
Per difendersi dal malspam è quindi utile seguire anche queste regole generali:
- non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
- trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
- non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
- se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
- in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
- eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.
Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
