Cosa si intende per malspam?

Composto dalle parole malware e spam che ne formano l’acronimo, il termine malspam in informatica serve ad indicare una specifica categoria determinato tipo di malware, inviato tramite messaggi di posta elettronica, con lo stesso identico modus operanti dello spam.

Come possiamo scoprire le minacce da cui stare in guardia e che metodi possiamo usare per difenderci?

1. Di cosa si tratta?

2. Breve storia del malspam

3. Attenzione a quel sollecito

4. Il ritorno degli attacchi malspam in Italia

5. Come proteggersi?

Il malspam non è un certo un fenomeno nuovo per la community cybersecurity.
Tuttavia, ultimamente è tornato alla ribalta in funzione della crescita delle cyberwar.
Periodicamente vengono scoperte nuove campagne di malspam ovvero:

e-mail di spam inviate a un numero indistinto di persone, con lo scopo di diffondere malware attraverso i messaggi di posta elettronica.

Non esiste alcun limite, o restrizione, ai tipi di malware che possono essere inviati per mezzo di una casella e-mail.

Le seguenti sono le tipologie di malware più spesso diffuse attraverso le campagne di malspam, a seconda dello scopo dell’attacco:

• Ransomware

• Trojan/bot

• Info stealer

• Click-hijacker

• Cryptominer

• Spyware

• Keylogger

Non si hanno, ancora, riferimenti temporali che testimoniano la nascita delle prime campagne email per la diffusione malware, essendo all’epoca non ancora percepiti come minaccia oggettiva alle persone comuni, considerato che Internet non era una tecnologia così diffusa su larga scala.

Tuttavia, possiamo notare che il mass-mailing virus Melissa, che risale al 1999, è di conseguenza il primo malware distribuito via e-mail riconosciuto come tale, e che ha catturato l’attenzione dei mezzi d’informazione e persino dei Governi.

• Melissa malware scansionava intere liste di contatti e-mail.
• Il malware procedeva all’invio di una copia di sé stesso ai primi 50 contatti presenti all’interno della rubrica.
• Non provava a distruggere file o altre risorse archiviate nel computer della vittima, a differenza di altri virus informatici.
• Il suo codice malevolo era capace di disabilitare i server di posta elettronica.
• In questo modo, si consumano risorse e si cercano contatti aggiuntivi per inviare copie del virus ad altri.

Di recente, la minaccia malspam sLoad già nota negli scorsi anni (a partire dal 2017) è tornata alla ribalta.

A dare l’allarme malware sLoad è stato il team della società Yoroi, la quale già a partire dai primi giorni di novembre 2017 diffuse un articolo spiegando nei minimi dettagli il funzionamento della minaccia.

Le e-mail che diffondono la minaccia malware sLoad sono messaggi PEC e sono caratterizzate dalla presenza di cifre arbitrarie sia nell’oggetto che negli allegati.
L’oggetto dell’email è dinamico, così come la struttura del link presente nel corpo del messaggio.

Le campagne di cui al momento si è a conoscenza sfruttano il tema “Pagamenti” e riportano sempre queste tematiche:

• Lettera di sollecito pagamento fattura

• Pagamento in ritardo di fattura

• Ultimo sollecito di pagamento

• Ritardo nel pagamento fattura

• Primo sollecito di pagamento

All’interno del messaggio è quasi sempre presente o un allegato infetto o un link necessario per “scaricare la fattura”.
Una volta eseguito il download del file, il codice malevolo inizia la sua opera a bordo device.

La caratteristica che rende questo attacco è che è in grado di superare tutti i controlli antivirus delle caselle postali PEC.

Nello stesso anno, venne lanciata una seconda campagna malspam: Torjan Danabot,

Le modalità sono molto simili a quelle già descritte per malware sLoad.
In questo caso Torjan Danabot fa in modo che:

• L’ignaro utente troverà nella sua casella di posta elettronica una fattura.
• Cliccando sul link, viene scaricato un file compresso in formato Rar.
• All’interno vi è uno script che, appena viene eseguito, scarica il virus sul PC.

Il malware è capace, inoltre, di attivarsi ad ogni avvio del PC, così da combattere un’eventuale scansione antivirus.

Attualmente, nel nostro Paese sono in auge due tipologie di attacchi malspam.
Si stima che siano oltre 12 mila gli attacchi informatici compiuti in Italia attraverso l’utilizzo di campagne e-mail phishing.

Il CSIRT ha rilevato una nuova campagna in corso di malspam volta alla distribuzione del noto malware Emotet.

Nel dettaglio il malware viene distribuito tramite archivio “zip” protetto da password, contenuta nel corpo nella comunicazione, come abbiamo visto in precedenza. All’interno dell’archivio compresso è presente un foglio di lavoro Excel contenente macro malevole.

Come fare, quindi, a proteggere il proprio PC e i propri dati da queste sofisticate campagne di malspam?

Vi consigliamo di seguire queste regole semplici:

• Non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;

• Non scaricate mai file eseguibili allegati alle e-mail, a meno che non siate assolutamente certi della provenienza;

• Implementare, ove non presenti, sistemi anti-phishing;

• Impostare una regola che blocchi le e-mail con allegati di tipo file di archivio compresso (es. .zip,.rar,.7z), con capacità complessiva (testo+allegato) inferiore a 70Kb1;

• Se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;

• In caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;

• Eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.

Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti.
Resta fondamentale per tutti gli utenti essere formati circa le minacce in corso tramite, se possibile, un team di esperti per salvaguardare la sicurezza del perimetro informatico dell’organizzazione stessa.

Nel caso fosse stata effettuata almeno una delle seguenti azioni:

• Si sia cliccato su un link di dubbia provenienza;

• Siano state fornite informazioni personali o riservate;

• Si sia stati infettati da un malware.

Bisogna intervenire tempestivamente sui propri PC e/o dispositivi eseguendo tutte le verifiche ed operazioni tecniche che si ritengono necessarie, assicurandosi di ripulire la propria postazione da infezioni dovute a virus/malware/spyware attraverso specifici software aggiornati e di procedere alla variazione della password di accesso della casella PEC.