La botnet più estesa al mondo, Necurs, ha ridotto sensibilmente le sue attività fraudolente. A dicembre 2016, infatti, Kaspersky Lab aveva individuato 35 milioni di email nocive, mentre a marzo 2017 il numero è sceso a 7.000. Sono stati rilevati i seguenti trend relativi al primo trimestre del 2017:

- La quota globale di spam ammontava, in media, a circa il 56% del traffico email del primo trimestre, paragonato al 59,9% del quarto trimestre del 2016;

- Il numero totale di allegati dannosi nel traffico email ha registrato un calo di 2,4 volte rispetto al trimestre precedente;

- Più della metà di tutti gli attacchi di phishing mirava al settore finanziario, tra cui banche (circa il 26%), sistemi di pagamento (più del 13%) e siti per lo shopping online (circa l'11%).

Paesi maggiormente bersagliati dalle mailing di massa nocive

Il declino della botnet Necurs

Nel 2016, i ricercatori hanno rilevato un forte aumento dello spam con allegati dannosi, soprattutto di encryptor. La maggior parte di questo traffico proveniva dalla botnet Necurs, che è attualmente considerata la più estesa botnet di spam al mondo. Tuttavia, a fine dicembre 2016, la diffusione si è praticamente interrotta e non solamente per le vacanze di Natale. Lo spam della botnet è rimasto ad un livello molto basso per quasi tutto il primo trimestre del 2017.

Sembra che i criminali siano stati spaventati dal crescente interesse per gli encryptor e abbiano deciso di sospendere l'invio di email di massa. Tuttavia, è impossibile che questa decisione porti all'estinzione di questo vettore d'attacco.

Email dannose con file protetti da password

Nel primo trimestre del 2017 gli spammer hanno affinato le loro tecniche anti-rilevamento in diversi modi. Ad esempio, hanno celato i loro malware in file protetti da password. Una volta che l'utente riceveva l'email, gli hacker lo inducevano ad aprire e archiviare il file come al solito. Gli spammer imitavano le email di notifica degli ordini di grandi aziende retail, l'invio di informazioni sulle transazioni e di CV, o promettendo ingenti somme di denaro. Spesso le email venivano inviate per conto di alcune piccole e medie imprese realmente esistenti, con firme e contatti che provavano l'affidabilità del mittente.

Una volta che la vittima apriva i documenti, veniva attivato uno script nocivo, che scaricava un malware sul computer. I payload del malware erano diversi e includevano ransomware, spyware, backdoor o una nuova versione del famigerato trojan Zeus.

Lo spam attraverso servizi legali

I moderni filtri anti-spam gestiscono efficacemente il problema del rilevamento dello spam via email. Questo spinge gli hacker a cercare nuovi canali per superare le barriere. Si stanno così concentrando sempre di più sulle app di messaggistica e sui social network per diffondere le loro pubblicità e le offerte dannose.

I messaggi privati sono solitamente accompagnati da notifiche via email al destinatario. In questo modo, l'intestazione dell'email sarà considerata legittima, diversamente dalle solite email di spam. Di conseguenza, sarà possibile individuare lo spam solo attraverso un'analisi del contenuto del messaggio. Si tratta di un compito molto più difficile, specialmente se si considera la fonte legale dell'informazione e se l'indirizzo del servizio è incluso nell'elenco dei destinatari affidabili.