Spam en 2016

Contenu

Chiffres de l’année

D’après les données de Kaspersky Lab pour 2016 :

  • La part de courrier indésirable (spam) a atteint 58,31 % du courrier, soit 3,03 points de pourcentage de plus qu’en 2015.
  • Les messages non sollicités d’une taille inférieure à 2 Ko ont atteint 62,16 % de l’ensemble du spam.
  • 12,08% de l’ensemble du courrier indésirable mondial provenait des Etats-Unis.
  • La famille de malwares la plus souvent diffusée via le courrier aura été Trojan.Win32.Bayrob
  • L’Allemagne enregistre la plus grande part de déclenchements de l’antivirus protégeant les e-mails (14,13 %).
  • Sur l’ensemble de l’année, nous avons enregistré 154 957 897 déclenchements du système Anti-Phishing.
  • La part d’utilisateurs uniques confrontés au phishing au cours de l’année a atteint 15,29 %.
  • Le Brésil est devenu le leader en terme de part d’utilisateurs victimes d’attaques de phishing (27,61 %).
  • Les clients de différentes organisations financières comptabilisent 47,48 % des déclenchements du module heuristique au sein du système Anti-Phishing.

Événements mondiaux et spam

Tout au long de l’année 2016, le spam d’escroquerie a exploité les grands événements sportifs : le Championnat d’Europe de football, les Jeux olympiques d’été de Rio et la Coupe du monde de football 2018 et 2022. En général, les auteurs de ces campagnes envoyaient des messages qui apprenaient aux destinataires qu’ils avaient remporté un prix dans une loterie fictive liée à un de ces événements sportifs. Ces fausses notifications ne brillaient pas par leur originalité : les escrocs se contentaient d’indiquer que la loterie avait été supervisée par une organisation officielle et que l’adresse du destinataire avait été tirée au sort parmi des millions d’autres adresses. Pour obtenir la somme remportée, le destinataire devait répondre au message et fournir toutes les informations personnelles sollicitées.

Dans le cas des événements sportifs, le texte détaillé du message se trouvait le plus souvent dans des pièces jointes au format DOC, PDF ou JPEG dont la mise en page intégrait des éléments graphiques en rapport avec le sujet : emblèmes officiels, logos de l’événement et des sponsors. Le texte apparaissait rarement directement dans le corps du message. Afin d’introduire de la diversité dans leurs campagnes, les spammeurs ont adopté de vieilles astuces : modification du texte, des adresses email de réponse, des adresses des expéditeurs, du nom des pièces jointes, de la taille, etc. Ceci étant dit, il nous est arrivé de retrouver dans nos pièges des messages avec la même pièce jointe à plusieurs reprises au cours de plusieurs mois.

Spam en 2016

Au 4e trimestre 2016, les spammeurs ont porté leur attention sur la Coupe du monde de football de 2018 et de 2022. Nous avons souvent repéré dans le trafic de spam des messages d’escroquerie évoquant des gains dans des loteries consacrées à ce sujet.

Spam en 2016

Le football a également été exploité dans le spam malveillant. Ainsi, des individus malintentionnés ont envoyé de fausses notifications contenant des documents numérisés au nom d’un site spécialisé dans la publication d’informations relatives aux jeux électroniques et au milieu du foot. L’objectif était visiblement de compter sur la curiosité des destinataires. L’archive ZIP contenait un téléchargeur JavaScript identifié par Kaspersky Lab sous le nom de Trojan-Downloader.Script.Generic. Ce malware téléchargeait à son tour un autre malware sur l’ordinateur de la victime.

Spam en 2016

Le terrorisme, devenu depuis quelques années un problème de taille sur la scène internationale, a également été exploité dans le spam. De nombreux messages d’escroquerie à la nigériane ont été envoyés non seulement au nom de fonctionnaires, mais également au nom de particuliers. Le contenu des histoires inventées variait au niveau des détails, mais l’objectif des spammeurs était toujours le même : amener le destinataire à répondre en lui promettant qu’il allait recevoir une importante somme d’argent. Les messages d’escroquerie à la nigériane inspirés par la situation dramatique en Syrie n’ont rien perdu en popularité et les escrocs n’ont pas hésité à exploiter ce sujet en 2016 pour tromper les utilisateurs.

Spam en 2016

Le spam malveillant inspiré par le terrorisme a été un phénomène beaucoup plus rare et visait principalement à voler des données personnelles, à organiser des attaques DDoS ou à installer d’autres malwares sur l’ordinateur des victimes.

Spam en 2016

Messages contenant des offres d’entreprises chinoises

Nous avons souvent observé dans le trafic de messagerie en 2016 des messages envoyés par des usines chinoises pour promouvoir leurs produits. Les spammeurs proposaient non seulement des produits finis, mais également des pièces de rechange dans les domaines les plus divers.

Le texte de ce genre de message en particulier débutait par une salutation générale, suivie par le nom et le prénom du directeur ainsi que le nom de l’usine qu’il représentait. Bien souvent, le message évoquait les qualités de l’entreprise, son expérience dans le domaine et les certifications qu’elle avait obtenues. La liste des produits offerts par la société était reprise soit directement dans le corps du message, soit envoyée ultérieurement à la demande du destinataire. Et pour un meilleur effet visuel, le message pouvait parfois contenir des photos des produits proposés. Les coordonnées de l’entreprise (numéro de poste fixe ou mobile, fax, email, différents clients de messagerie instantanée) étaient reprises en bas du message, pour les destinataires désireux d’en savoir plus. Parfois, les coordonnées figuraient dans une image jointe à un message.

Spam en 2016

Les auteurs des messages se présentaient comme des représentants des entreprises. Quant aux adresses des expéditeurs, il pouvait s’agir de comptes créés sur des services de messagerie en ligne gratuite ou dans le propre nom de domaine de l’entreprise. De temps à autres, les messages reprenaient l’adresse du site Internet de la société, si celle-ci pouvait se le permettre.

De nombreux pays ont traversé cette phase où les petites et moyennes entreprises privilégiaient le spam pour assurer la promotion de leurs produits. Mais petit à petit, cette forme de publicité a été de moins en moins acceptée par les utilisateurs, des législations de lutte contre le spam ont vu le jour, mais plus important encore, cette option a été substituée par des plateformes de publicité mieux ciblée, plus pratiques et moins envahissantes. La publicité via les réseaux sociaux occupe une bonne position parmi ces nouvelles plateformes. On peut s’interroger sur les raisons pour lesquelles les entrepreneurs chinois n’ont pas suivi la tendance (en sachant que la Chine possède une législation contre le spam et qui plus, une des plus strictes au monde). Le fait est que les réseaux sociaux autorisés en Chine sont principalement des réseaux sociaux nationaux. Les géants internationaux comme Facebook sont interdits. Par conséquent, un entrepreneur chinois qui souhaite partir à la conquête du marché international dispose de beaucoup moins d’outils légaux.

Année des escroqueries dans le spam

Nous avons enregistré un volume important de spam malveillant en 2016. Alors que les années antérieures, le logiciel espion Fraud.gen (page HTML développée pour voler les données des cartes bancaires des utilisateurs) dominait la liste des pièces jointes malveillantes, cette année le leader absolu aura été la catégorie des trojans téléchargeur qui téléchargent des ransomwares sur les ordinateurs des victimes. La campagne la plus importante aura été celle qui cherchait à infecter l’ordinateur de la victime avec le malware Locky. Ceci étant dit, d’autres ransomwares comme Petya, Cryakl et Shade ont également été diffusés.

Le nombre de malwares a commencé à augmenter à partir de décembre 2015 et cette croissance c’est maintenue tout au long de l’année. Les reculs marqués enregistrés ont été provoqués, principalement, par les individus malintentionnés eux-mêmes lorsqu’ils ont désactivé temporairement le réseau de zombie Necurs, responsable d’une grande partie de la diffusion du malware Locky. Après la désactivation du réseau de zombies, les individus malintentionnés ont modifié les modèles utilisés dans le spam diffusé.

Spam en 2016

Nombre de messages malveillants dans le spam, 2016

Sur l’ensemble de l’année 2016, le module antivirus s’est déclenché 239 979 660 fois dans le courrier de nos clients. Soit le quadruple de l’année dernière.

Cette augmentation sensible du nombre de ransomwares est peut-être liée à la disponibilité de ce type de malware sur le marché noir. Actuellement, les criminels peuvent non seulement louer la puissance des réseaux de zombies pour diffuser le spam, mais ils peuvent également profiter de ce qu’on appelle le Ransomware-as-a-service. Autrement dit, il se pourrait très bien que l’individu malintentionné ne soit pas un pirate au sens traditionnel du terme ou qu’il ne sache pas écrire la moindre ligne de code.

Les messages de spam qui contenaient les malwares imitaient souvent des messages de correspondance personnelle qui tentaient de convaincre le destinataire d’ouvrir les documents en pièce jointe en avançant les raisons les plus diverses. De plus, les individus malintentionnés invoquaient les prétextes les plus divers pour diffuser ces messages, depuis l’envoi de factures jusqu’aux avis de réception de colis en passant par la bureautique avec de prétendus documents numérisés en pièce jointe.

Spam en 2016

Dans les deux exemples repris ci-dessus, la pièce jointe contient un fichier malveillant portant l’extension .wsf, détecté par les solutions de Kaspersky Lab sous le nom de Trojan-Downloader.JS.Agent.myd. Le fichier malveillant est écrit en Javascript et télécharge une des versions du ransomware Locky sur l’ordinateur de la victime.

Spam en 2016

Dans cet exemple, le fichier en pièce jointe porte l’extension .jse. Il est détecté sous le nom de Trojan-Downloader.JS.Cryptoload.auk. Ce fichier malveillant est également écrit en Javascript et télécharge une des versions du ransomware Locky sur l’ordinateur de la victime.

Dans l’ensemble, les pièces jointes malveillantes se sont distinguées par leur diversité. En général, il s’agissait d’archives contenant des applications Java et Javascript (fichiers JS, JAR, WSF, WRN, etc.), mais il y avait également des documents Office avec des macros (DOC, DOCX, XLS et RTF) ainsi que des fichiers exécutables classiques. Certains individus malintentionnés ont privilégié des formats d’archive rares comme CAB.

Une fois lancés, les ransomwares chiffrent les données sur l’ordinateur de l’utilisateur et affichent une demande de rançon (à payer en bitcoins via le réseau Tor). Pour obtenir de plus amples informations, nous vous invitons à lire notre rapport « Kaspersky Security Bulletin 2016. Histoire de l’année. La révolution des ransomwares« .

Astuces des diffuseurs de spam

Brouillage du texte

Afin de rendre chaque message d’une campagne unique, les spammeurs ajoutent des séquences de caractères aléatoires invisibles pour le destinataire. Cette astuce n’est pas récente, mais les spammeurs continuent de l’utiliser tout en perfectionnant certains aspects. Vous trouverez ci-après une brève description des astuces les plus souvent utilisées en 2016. Ces exemples proviennent de spams authentiques.

1. Caractères minuscules et/ou texte en blanc.

Spam en 2016

Il s’agit de l’astuce la plus simple et la plus ancienne : le texte peut être rédigé en caractères blancs (ffffff, code hexadécimal du blanc).

Spam en 2016

Dans l’exemple fourni, des séquences aléatoires de lettres écrites en petits caractères blancs sont insérées entre les mots « You have received a £500 » écrits normalement.

2. Ces séquences ne sont pas affichées.

Spam en 2016

L’attribut permet de rendre ce texte invisible dans le message. Dans une situation normale, cette baliste peut être utilisée dans un brouillon par exemple. Ces balises avec du texte aléatoires sont utilisées abondamment dans les spams et si le filtre antispam n’est pas configuré pour traiter ce genre de balise, le texte qui les suit n’est pas pris en compte.

Les spammeurs peuvent obtenir un effet similaire en introduisant une séquence aléatoire de caractères d’une taille égale à 0 :

Spam en 2016

3. Affichage du texte hors de la zone visible de l’écran.

Une autre méthode pour rendre le texte de brouillage invisible consiste à l’ajouter dans une police de caractère normale, mais dans les parties des messages qui sortent de l’écran (à l’extrême gauche, à l’extrême droite ou en dessous du corps) :

Spam en 2016

4. Utilisation de balises que le destinataire ne peut pas voir par défaut.

Parfois, le texte aléatoire est ajouté à des balises qui ne sont pas du tout prévues pour afficher du texte destiné à l’utilisateur. Il s’agit en général des balises de commentaires, mais il existe d’autres options :

Spam en 2016

Le contenu de la balise <noscript> est affiché uniquement sur les ordinateurs avec des scripts non pris en charge ou désactivés. Pour cette raison, la majorité des utilisateurs ne verra pas ce texte.

5. Brouillage à l’aide de balises.

Il arrive parfois que le texte du message soit brouillé, non pas par des séquences aléatoires de caractères rendus invisibles d’une manière ou d’une autre, mais par des balises qui n’ont aucune valeur et qui ne peuvent être interprétées :

Spam en 2016

Certains spams contenaient plusieurs centaines de ces balises.

En outre, la séquence aléatoire de caractères n’est pas toujours placée entre certaines balises, mais bien directement à l’intérieur de celle-ci en tant qu’attribut de la balise :

Spam en 2016

Cet attribut ne sera pas interprété et ne s’affichera pas dans le message envoyé au destinataire.

Dissimulation des liens

Alors que le texte du message peut être personnalisé de nombreuses manières, la situation est différente pour les adresses Internet de spam reprises dans les messages. Leur nombre au sein d’une campagne peut être assez élevé (plusieurs milliers) mais il s’agit d’une quantité finie car les spammeurs doivent payer chacun des domaines utilisés. Les individus malintentionnés ont mis au point plusieurs astuces afin que chaque lien soit unique, sans perdre sa fonction.

1. Obfuscation de domaines à l’aide de la plage UTF :

Nous avions déjà évoqué l’année dernière les astuces employées par les spammeurs pour varier l’écriture des domaines et des IP. Cette année, les tendances qui consistaient à écrire les domaines à l’aide de caractères issus des différentes tables UTF et à présenter les adresses IP à l’aide de différents systèmes de numération se sont maintenues

L’intervalle des Symboles mathématiques alphanumériques a été particulièrement apprécié des spammeurs. Voici quelques exemples :

Spam en 2016

Domaine écrit à l’aide de caractères mathematical bold script.

Spam en 2016

Domaine écrit à l’aide de caractères mathematical monospace small.

Les caractères de cet intervalle sont prévus pour des formules mathématiques spéciales et ne doivent pas être utilisés dans le texte normal ou les liens hypertextes.

2. Mélange des codes

Outre l’astuce décrite ci-dessus, les spammeurs ont également eu recours au mélange des codes : une partie du domaine est écrite à l’aide de lettres de l’alphabet latin Unicode et le reste, à l’aide de caractères d’intervalles spéciaux du code URL-encoded.

Spam en 2016

Le domaine de l’exemple ci-dessus est d’abord traduit en

Spam en 2016

puis en server119.bullten.org.

3. Brouillage des adresses Internet à l’aide des services de raccourcissement d’URL

En plus des différentes manières d’écrire l’adresse du site du spammeur, il arrive parfois que ce site ne soit pas cité directement dans le message. C’est ici qu’interviennent les sites de raccourcissement d’URL et les redirections. Mais en 2016, les spammeurs ont également appliqué la technique du brouillage selon différentes méthodes à ces liens.

Des lettres, des barres obliques et des points sont placés entre le service de raccourcissement d’URL et l’identifiant du lien (le texte en gras désigne les éléments fonctionnels, tout le reste n’étant que le texte de brouillage) :

Spam en 2016

On retrouve parfois ici des balises de commentaires :

Spam en 2016

Afin de tromper davantage les filtres, la partie de brouillage peut contenir le nom de différents sites, en général connus :

Spam en 2016

Toutes ces parties disparaissent une fois que l’utilisateur clique sur le lien.

Une autre méthode pour brouiller le lien consiste à ajouter des paramètres inexistants à la fin :

Spam en 2016

Tout ce qui suit le point d’interrogation dans un lien ne fait pas partie de l’adresse Internet en tant que telle mais bien de ses paramètres. Ces paramètres peuvent contenir les informations les plus diverses. Ainsi le lien unsuscribe pour se désabonner d’une liste de diffusion reprend souvent en guise de paramètre l’adresse email à saisir dans le champ d’annulation de l’abonnement. Les services de raccourcissement d’URL et de nombreux autres sites, quant à eux, n’acceptent aucun paramètre et pour cette raison, cette partie de l’adresse Internet est tout simplement ignorée lorsque le destinataire clique sur le lien. Les spammeurs exploitent cette caractéristique et placent des séquences aléatoires en guise de paramètres. Dans ce cas-ci, l’extension .pdf est ajoutée à la fin des paramètres : cet ajout ne vise pas à déjouer le filtre, mais bien à tromper l’utilisateur qui pourrait penser que le lien va le conduire vers un fichier PDF quelconque.

4. Préfixes

Les spammeurs peuvent donc opter pour le brouillage à l’aide de paramètres à la fin du lien, mais ils peuvent également disposer des éléments de brouillage au début. Il peut s’agir d’une multitude de caractères qui seront ignorés par l’interprétateur de lien au moment où l’utilisateur cliquera sur ce lien :

Spam en 2016

(dans cet exemple, on peut observer un cas de brouillage du lien au début, mais également à la fin à l’aide de paramètres et l’on voit également que le lien est une adresse IP écrite en partie en système octal et en partie en système hexadécimal).

L’utilisation du caractère @ en début de lien est la méthode de brouillage de lien la plus répandue. Pour rappel, le caractère @ devant un domaine peut servir à identifier l’utilisateur dans le domaine (cette méthode n’est plus utilisée). Sur les sites qui ne requièrent aucune identification, tout ce qui précède le caractère @ sera ignoré par le navigateur.

Ce caractère est très utile pour les spammeurs : non seulement il permet de brouiller le lien, mais il lui donne également un air de légitimité si un site Internet connu quelconque apparaît devant @.

Spam en 2016

5. Redirections masquées

Cela fait longtemps que les spammeurs utilisent les redirections pour masquer le domaine principal. Nous avons déjà abordé ce point en détails. En 2016, les méthodes de redirection n’ont pas été des plus variées, mais les liens des redirections ont également été brouillés. Les méthodes employées pour le brouillage sont plus ou moins identiques à celles évoquées ci-dessus pour les services de raccourcissement d’URL : utilisation du caractère @, recours aux paramètres et aux caractères complémentaires.

Souvent, les individus malintentionnés ont utilisé directement plusieurs astuces pour dissimuler le lien d’origine, mais également pour le brouiller :

Spam en 2016

On retrouve ainsi un site qui détourne l’attention (un simple brouillage) avant le caractère @, ensuite la redirection vers le service de raccourcissement d’URL (brouillée elle aussi à l’aide de plusieurs caractères placés avant le caractère @) et ce n’est que via celle-ci que l’utilisateur arrive sur le site du spammeur.

Spam en 2016

Statistiques

Part du courrier indésirable dans le trafic de messagerie

La part du courrier indésirable (spam) dans le trafic de messagerie en 2016 a augmenté de 3,03 points de pourcentage pour atteindre 58,31 %.

Spam en 2016

Part du courrier indésirable dans le trafic de messagerie mondial en 2016

Le taux le plus faible (54,61 %) a été enregistré en février 2016. Par la suite, la part de spam a connu une croissance progressive pour atteindre un pic à 61,66 % au mois de novembre.

Notez que la dernière augmentation de la part de spam dans le trafic de messagerie remonte à 8 ans (2009). Depuis lors, la part de spam avait chuté progressivement pour passer du pic de 85,2 % en 2009 à 55,28 % en 2015. Nous avons associé cette chute à l’abandon progressif du spam comme outil de promotion par les petites et moyennes entreprises au profit d’autres plateformes publicitaires, légales.

Spam en 2016

Part du courrier indésirable dans le trafic de messagerie mondial, 2009-2016

Il se peut que ce processus a été interrompu car ceux qui souhaitaient et pouvaient ne pas utiliser les services de spammeurs ont abandonné cette démarche dans leur majorité. Cette petite hausse s’explique par l’augmentation sensible du volume de spam contenant des pièces jointes.

Pays, source du courrier indésirable

Spam en 2016

Pays, source de courrier indésirable en 2016

Le trio de tête des pays source de courrier indésirable a connu les modifications suivantes en 2016 : L’Inde a décroché la 3e position (10,15 %) suite à une augmentation sensible (7,19 points de pourcentage) de sa part de spam diffusé. Un tel sursaut peut être le signe de la mise en place de réseaux de zombies dans la région. Le Vietnam (10,32 %) a également enregistré une augmentation de sa part de spam (4,19 points de pourcentage) et progresse d’une position pour arriver en 2e place. Les Etats-Unis conservent leur première position (12,08 %), malgré un recul de 3,08 points de pourcentage sur l’ensemble de l’année.

La Chine a enregistré un recul de 1,46 point de pourcentage et occupe la 4e position avec 4,66 %. On retrouve ensuite dans le classement deux représentants d’Amérique latine : le Mexique (4,40 %) et le Brésil (4,01 %). La Russie (3,53 %) a quitté le Top 3 des leaders de l’année dernière et se retrouve en 7e position du classement 2016. Sa part de spam diffusé s’est contractée de 2,62 points de pourcentage.

La 8e et la 9e position du classement sont occupées respectivement par la France (3,39 %, +0,22 point de pourcentage) et l’Allemagne (3,21 %, -1,03 point de pourcentage). La Turquie referme le Top 10 avec un indice de 2,29 %, soit une progression de 0,34 point de pourcentage par rapport à 2015.

Taille des messages non sollicités

La part des messages de très petite taille (2 Ko maximale) dans le spam a sensiblement diminué en 2016 et a atteint une moyenne de 62,16 %. Ce résultat est en recul de 16;97 points de pourcentage par rapport à 2015. La part des messages dont la taille est comprise entre 2 et 5 Ko a également reculé et se situe à 4,70 %.

Spam en 2016

Taille des messages non sollicités, 2016

On a pu observer par contre une hausse sensible de la part des messages dont la taille est comprise entre 5 et 10 Ko (6,15 %), entre 10 et 20 Ko (14,47 %) et entre 20 et 50 Ko (10,08 %). Sur l’ensemble de l’année 2016, nous avons observé une nette tendance à la réduction des messages de très petite taille et à l’augmentation du nombre de messages de taille moyenne de 5 à 50 Ko. Cette hausse s’explique par l’augmentation de la part de spam avec des pièces jointes malveillantes.

Pièces jointes malveillantes dans le courrier

Familles de malwares

Spam en 2016

Top 10 des familles de malwares, 2016

La famille de malwares la plus répandue par courrier en 2016 a été Trojan-Downloader.JS.Agent. Le malware typique de cette famille est un script Java obfusqué qui exploite la technologie ADODB.Stream pour télécharger et exécuter des fichiers DLL, EXE et PDF.

La 2e position est occupée par des représentants de la famille Trojan-Downloader.VBS.Agent. Il s’agit de scripts VBS qui exploitent la technologie ADODB.Stream pour télécharger des archives ZIP et exécuter le malware extrait de celles-ci.

La 3e position revient à la famille Trojan-Downloader.MSWord.Agent. Ce malware se présente sous la forme d’un fichier DOC avec une macro programmée en Visual Basic for Applications (VBA) qui est exécutée à l’ouverture du document. Cette macro télécharge un autre fichier malveillant depuis le site des individus malintentionnés et l’exécute sur l’ordinateur de l’utilisateur.

La famille Trojan-Downloader.JS.Cryptoload occupe la 4e position. Le malware de cette famille est un script Java obfusqué qui télécharge un ransomware sur l’ordinateur et l’exécute.

La famille Trojan.Win32.Bayrob referme le Top 5. Les malwares de cette famille de trojans peuvent télécharger des modules supplémentaires depuis le serveur de commande et les exécuter. Ils peuvent également faire office de serveur proxy. Ils interviennent dans la diffusion de spam et le vol de données personnelles.

La famille Trojan-PSW.Win32.Fareit occupe la 6e position. L’objectif principal des malwares de cette famille est le vol de données telles que les identifiants des clients FTP installés sur l’ordinateur infecté, les identifiants des applications de gestion de stockage dans le cloud, les cookies des navigateurs ou les mots de passe des clients de messagerie. Les trojans Fareit transmettent les informations volées au serveur des individus malintentionnés. Certains membres de cette famille sont capables de télécharger et d’exécuter d’autres malwares.

La 7e position revient au malware Trojan-Downloader.JS.SLoad. Il s’agit de scripts Java qui téléchargent et exécutent d’autres malwares, en général des ransomwares, sur l’ordinateur de la victime.

La famille Trojan.Java.Agent occupe la 8e position. Le malware de cette famille est programmé en Java et porte l’extension JAR. Ces applications exploitent des vulnérabilités dans Sun Java Runtime et peuvent détruire, verrouiller, modifier ou copier des données, ainsi que télécharger et exécuter d’autres malwares.

La 9e position revient à Backdoor.Win32.Androm. Le malware de cette famille de bots modulaires universels Andromeda s’appelle Gamarue. Ces bots sont dotés des fonctionnalités suivantes : le téléchargement, l’enregistrement et le lancement d’un fichier exécutable malveillant, le téléchargement et le chargement d’une DLL (sans l’enregistrer sur le disque) et la possibilité de se mettre à jour et de se supprimer. Les fonctionnalités du bot sont enrichies à l’aide de plug-ins que les individus malintentionnés chargent quand ils le souhaitent.

La famille Worm.Win32.WBVB referme le Top 10. Elle réunit des fichiers exécutables programmés en Visual Basic 6 (aussi bien en mode P-code qu’en mode Native) qui ne sont pas considérés comme des fichiers de confiance par KSN.

Pays, cibles des diffusions de malwares

Spam en 2016

Répartition des déclenchements de l’antivirus protégeant les e-mails par pays en 2016

A l’issue de l’année 2016, la tête du classement revient une fois de plus à l’Allemagne (14,13 %), malgré un recul de 4,93 points de pourcentage. Deux représentants de la région Asie-Pacifique occupent la 2e et la 3e position : il s’agit du Japon (7,59 %) et de la Chine (7,32 %). En 2015, ces deux pays étaient loin du Top 10.

La Russie (5,6 %) recule en 2016 de la 3e à la 4e position. La part de déclenchements de l’antivirus protégeant les e-mails dans ce pays a reculé de 0,7 point de pourcentage. Viennent ensuite l’Italie (5,44 %), la Grande-Bretagne (5,17 %) et le Brésil (4,99 %). Ce dernier ne figure plus dans le trio de tête en 2016.

Les Etats-Unis arrivent en 8e position. La part de l’antivirus protégeant les emails dans ce pays a atteint 4,03 %, soit un recul de 0,89 point de pourcentage par rapport à l’année antérieure.

L’Autriche (2,35 %) referme le Top 10 avec une progression de 0,93 point de pourcentage.

Phishing

Sur l’ensemble de l’année 2016, le système Anti-Phishing s’est déclenché 154 957 897 fois sur les ordinateurs d’utilisateurs de produits de Kaspersky Lab lorsqu’ils ont tenté d’accéder à des sites de phishing. Ceci représente une augmentation de 6 562 451 de déclenchements par rapport à 2015. Globalement, 15,29 % de nos utilisateurs ont été attaqués.

Sujets d’actualité de l’année

Cette année, les auteurs de campagnes de phishing ont exploité une fois de plus les grands événements médiatiques, comme les jeux olympiques d’été au Brésil par exemple. Les escrocs visaient non seulement les propres organisateurs des Jeux olympiques, mais également des internautes lambda qui recevaient des notifications factices sur un prix remporté dans un tirage au sort prétendument organisé par le gouvernement du pays et le Comité olympique.

L’élection présidentielle aux Etats-Unis a également été un excellent prétexte exploité par les escrocs. Aussi bien aux Etats-Unis que dans d’autres pays, les individus malintentionnés ont exploité ce sujet pour confondre les internautes.

L’autre sujet intéressant auquel nous avons consacré un rapport distinct aura été celui des offres spéciales à l’occasion des fêtes de fin d’année. Les escrocs ont exploité la couverture médiatique et ont créé de faux sites de plateforme de paiement ou de faux magasins sur lesquels ils attiraient les victimes potentielles à l’aide de remises alléchantes.

Spam en 2016

Exemple de faux magasin en ligne

De plus, la fête en elle-même peut être le seul prétexte dont a besoin l’escroc. Ainsi, il peut demander à la victime de mettre les données de son compte à jour pour la nouvelle année.

Spam en 2016

Page de phishing exploitant le sujet du Nouvel An dans le sous-domaine

Modes de diffusion

Sur l’ensemble de l’année 2016, les criminels ont exploité tous les outils disponibles pour entrer en contact avec les utilisateurs et les inciter à transmettre des données confidentielles ou à transférer de l’argent : les réseaux sociaux, les bannières contextuelles, les bannières et les SMS sont autant d’outils exploités par les escrocs.

Parmi les cas les plus intéressants, nous avons retenu l’escroquerie impliquant les services d’achat et de ventes d’objets usagés. Les cybercriminels récoltaient les numéros de téléphone repris dans les annonces publiées sur ces sites, puis envoyaient à ces numéros un SMS avec une proposition d’échange avec paiement complémentaire. Le message contenait un lien qui menait prétendument à la photo de l’objet proposé, mais en réalité la victime était renvoyée sur une page de phishing.

Spam en 2016

Les escrocs ont souvent exploité les réseaux sociaux dans leurs opérations, mais pas seulement les messages personnels. Etiqueter la victime dans une publication contenant le lien de phishing qui aurait du mener l’utilisateur à une vidéo provocante, tel est l’astuce qui a permis aux escrocs en 2016 d’amener de nombreux utilisateurs de Facebook à travers le monde à installer une extension malveillante pour le navigateur.

Spam en 2016

C’est en Europe principalement que l’extension malveillante « xic.graphics » c’est le plus répandue, même si elle a été supprimée rapidement du magasin. Ceci étant, d’après les données de whois, les propriétaires du domaine sur lequel la page factice était hébergée posséderait plus de 50 autres domaines. Il est probable que l’ensemble de ces domaines a été utilisé à des fins similaires.

Pièges des auteurs d’attaques de phishing : services referrer cleaner

Au 4e trimestre 2016, nous avons observé une tendance à l’utilisation de services referrer cleaner par les escrocs. La victime reçoit un message prétendument envoyé au nom d’une société connue. Ce message contient un lien dont les paramètres intègrent l’adresse de la victime.

Spam en 2016

Lorsque l’utilisateur clique sur l’adresse Internet indiquée, il arrive sur une page qui affiche l’erreur 302 et qui renvoie l’utilisateur vers l’adresse du service referer cleaner qui renvoie à son tour l’utilisateur vers le site légitime de la banque.

http://nullrefer.com/?https://www.cartalis.it/cartalis/prepagata/index.jsp

L’utilisateur ne sait pas qu’il a reçu un message de phishing et la banque n’obtient pas le nom de domaine de phishing dans ses références. Les auteurs de l’attaque de phishing reçoivent quant à eux une confirmation du fait que l’utilisateur a cliqué sur le lien. Cela signifie qu’ils pourront à l’avenir lui envoyer de nouveaux messages de phishing, par exemple dans le but de voler les données de sa carte bancaire. Les individus malintentionnés peuvent ainsi « éliminer » les adresses emails non utilisées ou les adresses des utilisateurs prudents de leur base de données. Ils peuvent également identifier les clients de la banque dont le nom figurait dans le message et préparer ainsi des campagnes plus ciblées.

Répartition géographique des attaques

Top 10 des pays selon la part d’utilisateurs attaqués

Le Brésil (27,61%) est le leader en terme de pourcentage d’utilisateurs uniques attaqués par rapport à l’ensemble des utilisateurs dans ce pays. Il progresse de 5,98 points de pourcentage.

Spam en 2016

Pourcentage d’utilisateurs sur les ordinateurs desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays, 2016

Nous observons au Brésil une multitude d’attaques qui visent les clients de banques et de magasins en ligne et il n’est dès lors pas étonnant que ce pays figure parmi les leaders du classement en fonction du nombre d’utilisateurs attaqués.

Signalons également que les auteurs d’attaques de phishing publient souvent de fausses pages sur les serveurs d’organismes gouvernementaux brésiliens. Il s’agit d’une des astuces qui permet d’éviter qu’une adresse de phishing tombe dans une liste noire. Elle rend également le message plus crédible. Sur l’ensemble de l’année 2016, nous avons enregistré 1 043 cas de ce genre.

Spam en 2016

Fausse page hébergée dans le domaine gov.br

Top 10 des pays selon la part d’utilisateurs attaqués

Pays %
Brésil 27,61
Chine 22,84
Australie 20,07
Japon 19,16
Algérie 17,82
Russie 17,16
Royaume-Uni 16,64
Canada 16,03
Émirats arabes unis 15,54
Arabie saoudite 15,39

La Chine (22,84 %) occupe la 2e place de notre classement. Elle ne figurait pas dans le Top 10 de 2015, mais elle a gagné 5,87 points de pourcentage en 2016. L’Australie (20,07 %) progresse de la 7e à la 3e position, soit un gain de 2,39 points de pourcentage. Les parts des autres membres du Top 10, exception faite de l’Arabie saoudite (+4,9 points de pourcentage), n’ont pratiquement pas changé.

Répartition des attaques par pays

La Russie domine le classement établi sur la base des déclenchements du système Anti-Phishing (en tant que part du total des déclenchements de notre produit à travers le monde sur un an). Sa part atteint 16,12 % et elle a enregistré un recul de 1,68 point de pourcentage en un an.

Spam en 2016

Répartition du nombre de déclenchements du composant par pays, 2016

Comme cela avait déjà été le cas en 2015, le Brésil occupe la 2e position (8,77 %). L’indice de ce pays n’a changé que de quelques centièmes. La part des Etats-Unis a quant à elle augmenté de 0,5 point de pourcentage (8,01 %), ce qui leur permet de prendre la 3e position à la place de l’Inde (6,01 %). La Chine a également fait son entrée dans le Top 5 (7,86 %).

Organisations victimes du phishing

Le classement des organisations victimes d’attaques de phishing repose sur les déclenchements du module heuristique du système Anti-Phishing sur les ordinateurs des utilisateurs. Ce module détecte toutes les pages qui possèdent du contenu de phishing et auxquelles l’utilisateur a tenté d’accéder via des liens dans des messages ou sur Internet, alors que ces liens ne figurent pas encore dans les bases de Kaspersky Lab.

Classement des catégories des organisations victimes d’attaques de phishing

Au cours du 2e semestre 2016, la part d’attaques de phishing qui visaient les clients d’organisations financières a sensiblement augmenté (44,16 % au 1er trimestre contre 48,14 % au 4e). Cela fait déjà plusieurs années que nous observons cette hausse : en 2014, l’indice annuel moyen était de 28,74 %. Il est passé à 34,33 % en 2015 et à 47,47 % en 2016.

La catégorie « Banques » a enregistré une hausse particulièrement remarquée en 2016 : + 8,31 points de pourcentage. La progression des catégories « Magasins en ligne » (10,17 %, + 1,09 points de pourcentage) et « Services de paiement » (11,55 %, + 3,75 points de pourcentage) est elle aussi remarquable.

Spam en 2016

Répartition des organisations dont les clients ont été victimes d’attaque de phishing, par catégorie, 2016

Il faut également noter une réduction de la part des catégories principales. Ainsi, la catégorie « Portails Internet globaux » (24,10 %) a perdu 7,77 points de pourcentage tandis que la catégorie « Réseaux sociaux et blogs » (10,91 %) a perdu 5,49 points de pourcentage.

Globalement la priorité des escrocs ne change pas d’une année à l’autre. Les individus malintentionnés exploitent avant tout les marques qui permettront d’obtenir le meilleur revenu en cas d’attaques contre leurs clients ou d’atteindre le plus de victimes.

Les escrocs accordent également la priorité aux attaques qui permettront d’obtenir un maximum d’informations confidentielles et, par conséquent de l’argent. Prenons par exemple la catégorie « Portails Internet globaux » (Google, Yahoo!, Microsoft (live.com), etc.) Ces portails utilisent un seul compte pour accéder à différents services. En cas de réussite de l’attaque de phishing, les escrocs obtiennent l’accès à tous les services de la victime.

Spam en 2016

Exemple de page de phishing visant les utilisateurs de Google

Top 3 des organisations ciblées par les auteurs d’attaques de phishing

Organisation % de déclenchements
Yahoo! 7,84
Facebook 7,13
Microsoft Corporation 6,98

La première place revient une fois de plus à Yahoo! (7,84 %), même si la part des déclenchements de notre composant sur de fausses pages évoquant cette marque a considérablement diminué en un an (recul de 6,86 points de pourcentage). Rappelons qu’elle avait également reculé de 10 points de pourcentage en 2015. Il faut souligner que l’entreprise mène une lutte active contre les auteurs d’attaques de phishing, par exemple en enregistrant les domaines obfusqués à son nom (yshoogames.com, ypyahoo.com.cn, yhoonews.com, yhoooo.com, yayoo.com, yahou.com). Toutefois, les auteurs d’attaques de phishing créent rarement des domaines de phishing. Ils préfèrent placer leur contenu sur des sites légitimes, à l’insu des propriétaires de ces derniers.

Spam en 2016

Exemple de fausse page inspirée de la marque Yahoo!

La deuxième marque la plus utilisée par les escrocs pour dissimuler leurs attaques a été Facebook (7,13 %). Sa part à l’issue de l’année 2016 a diminué de 2,38 points de pourcentage.

Nous avons identifié des pages de phishing classiques qui imitent la page d’ouverture de session du réseau social Facebook, mais également différentes versions de pages conçues pour voler des données. Une des méthodes les plus souvent utilisées pour attirer une victime consiste à lui promettre l’affichage d’un contenu, autorisé uniquement pour les visiteurs d’un certain âge, au moment d’accéder au système, à savoir après la saisie du nom d’utilisateur et du mot de passe.

Spam en 2016

Dans la mesure où les attaques de phishing de grande envergure exploitent des marques très populaires pour augmenter les chances de réussite et que ces marques sont des marques internationales, ces attaques touchent tout le monde. Par conséquent, nous avons pu observer des attaques de phishing en différentes langues. Nous avons décrit une des astuces adoptées par les auteurs d’attaques de phishing dans notre rapport consacré au 3e trimestre. Sur la base de l’adresse IP des victimes potentielles, les criminels peuvent déterminer le pays où elles se trouvent. Par la suite, en fonction du pays dans lequel la victime a été localisée, les escrocs utilisent, pour afficher la page, un dictionnaire dont la langue correspond à celle de la victime.

La société Microsoft referme le Top 3 (6,98 %). Les escrocs se dissimulent derrière cette marque le plus souvent pour tenter de voler les identifiants de comptes du portail live.com. En général, ils utilisent pour ce faire des pages qui imitent la page d’ouverture de session sur le service de messagerie de l’entreprise.

Spam en 2016

Mais les individus malintentionnés peuvent se tourner vers d’autres astuces comme la vérification de compte:

Spam en 2016

Conclusion et pronostics

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

L’année dernière, les petites et moyennes entreprises chinoises ont utilisé de plus en plus le spam. Ce phénomène peut s’expliquer, entre autres, par la Grande muraille numérique de Chine qui empêche l’accès des entrepreneurs chinois aux plateformes publicitaires internationales légitimes.

Parmi les techniques adoptées par les spammeurs en 2016, il convient de citer les différentes options de brouillage du texte et des liens à l’aide des possibilités offertes par le langage HTML. Cette astuce n’est pas récente et les spammeurs ne cessent de développer de nouvelles versions. Il ne fait aucun doute que cette tendance va se maintenir à l’avenir.

La part de spam dans le monde a progressé de 3,03 points de pourcentage par rapport à l’année antérieure pour atteindre 58,31%. Il s’agit de la première augmentation observée depuis 2009 et elle s’explique en partie par la hausse du volume de spam malveillant.

Une fois de plus, nous observons une tendance à l’augmentation du nombre d’escroqueries qui visent les clients d’organismes financiers. Cette tendance va se maintenir à l’avenir. Les attaques quant à elles sont de plus en pluBulletin de Kaspersky sur la sécurité. Spam en 2016

Les méthodes de diffusion des pages d’escroquerie ne se limitent plus aux messages électroniques. Les escrocs exploitent désormais tous les moyens disponibles pour contacter les victimes : SMS, publicités, réseaux sociaux. Ces derniers sont non seulement un excellent canal de communication, mais constituent également une incroyable source d’informations qui permettront d’organiser des attaques plus efficaces contre l’utilisateur.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *