Aperçu de l’activité virale, novembre 2011

Novembre en chiffres

Voici le bilan mensuel de l’activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

  • 204 595 286 attaques de réseau ont été déjouées ;
  • 89 001 505 tentatives d’infection via des sites Internet ont été bloquées ;
  • 238 045 358programmes malveillants ont été détectés et neutralisés (tentatives d’infection locale) ;
  • 98 047 245 verdicts heuristiques ont été recensés.

Le mois de novembre aura été relativement calme au niveau des menaces traditionnelles. Les auteurs de programmes malveillants ont poursuivi le développement des technologies existantes. Nous n’avons enregistré aucune invention significative du côté des auteurs de virus.

Thèmes du mois.

DUQU : enquête en cours

Le cheval de Troie Duqu, détecté au mois de septembre et devenu connu au mois d’octobre, a encore été au centre de l’attention des experts et de la presse au mois de novembre. Ceci s’explique principalement par la découverte du mode d’introduction du programme malveillant dans les systèmes attaqués. Les attaques étaient organisées via courrier électronique à l’aide d’un document MS Word contenant un code d’exploitation pour une vulnérabilité inconnue du système d’exploitation Windows. Une erreur dans le composant système win32k.sys permettait d’exécuter le code malveillant depuis un fichier possédant les privilèges système.

Cette découverte permet de poursuivre la mise en parallèle entre Duqu et Stuxnet qui tirait également profit de vulnérabilités inconnues jusque là. Dès le mois d’octobre, nous avions indiqué que la découverte du dropper Duqu était un élément important dans la résolution de l’énigme liée aux origines de cheval de Troie et qu’il pouvait contenir des codes d’exploitation pour des vulnérabilités de ce style.

Les experts de Kaspersky Lab ont trouvé le message original contenant le dropper et le code d’exploitation envoyé à une victime au Soudan. L’analyse détaillée a été publiée dans un billet de blog. Kaspersky Lab a rapidement ajouté les outils de détection de ce code d’exploitation à ses logiciels.

Il faut signaler qu’au début du mois de décembre, on attendait toujours le correctif de Microsoft pour éliminer cette vulnérabilité et par conséquent le risque d’attaques basées sur celle-ci est relativement élevé.

Outre l’étude de la vulnérabilité, nous avons mené plusieurs actions liées à la saisie de serveurs d’administration de Duqu dans plusieurs pays. Malheureusement, les auteurs de Duqu ont vite réagi à la nouvelle de la détection de leur activité et le 20 octobre, ils ont lancé une opération internationale de « suppression des traces » sur tous les serveurs. Nous avons réussi malgré tout à obtenir certaines données et l’enquête se poursuit.

Toutes les informations en notre possession indiquent que Duqu a été créé dans le but de récolter et de voler des données en rapport avec les activités de plusieurs sociétés et institutions iraniennes. Plusieurs éléments indiquent que Duqu existait peut-être déjà en 2007-2008 sous une forme moins développée et que le ver Stuxnet a été créé sur la base d’une plateforme utilisée également pour Duqu. De plus, il est possible que Duqu et Stuxnet aient été développés en parallèle.

Activité originale

Nouveautés dans les technologies et les programmes employés par les individus malintentionnés

L’utilisation de techniques de stéganographie dans les programmes malveillants augmente ces derniers temps.

Nous avons détecté au mois de septembre des fichiers graphiques contenant des instructions dissimulées pour l’administration du réseau de zombies SST. Pour rappel, le bot SST est une modification du bot TDSS/TDL bien connu.

Nous avons repéré une technique similaire au mois de novembre dans une famille de chevaux de Troie visant les clients de banques brésiliennes. Il s’agit du premier cas d’utilisation de la sténographique dans des images en Amérique latine.

Les fichiers contenant les codes malveillants cryptés et des informations complémentaires possédaient l’extension jpeg, mais leur structure était celle de fichiers bmp. Les individus malintentionnés ont adopté la méthode du chiffrement par bloc.

Cette technique permet aux auteurs de virus de résoudre plusieurs problèmes d’un coup. Tout d’abord, elle peut entraîner le dysfonctionnement des systèmes automatiques d’analyse antivirus : le fichier peut être chargé, analysé par les logiciels antivirus et considéré comme sain et au fil du temps, le lien sera même exclu de l’analyse. Ensuite, les administrateurs des sites qui hébergent de tels programmes malveillants cryptés ne peuvent pas les identifier comme tels et par conséquent, ils ne les traitent pas. Troisièmement, tous les experts de la lutte contre le virus n’ont pas nécessairement le temps ou l’expérience requise pour s’attaquer à de tels fichiers. Tout ceci est bien entendu un avantage pour les cybercriminels.

Menaces sur les appareils nomades : diffusion internationale des chevaux de Troie par SMS

Au milieu du mois de juillet, nous avions évoqué les « expéditeurs de SMS pornographiques » qui utilisaient des SMS chers pour abonner les utilisateurs à divers services. Ces messages visaient les utilisateurs aux Etats-Unis, en Malaisie, aux Pays-Bas, en Grande-Bretagne, au Kenya et en Afrique du Sud.

En novembre, nous avons détecté des chevaux de Troie envoyés par SMS aux utilisateurs de plusieurs pays d’Europe et du Canada. Les programmes malveillants envoient depuis l’appareil infecté quatre SMS à des numéros surtaxés. Nous avons attribué le nom Trojan-SMS.AndroidOS.Foncy à cette famille.

D’après les messages que nous avons détectés dans des forums, les premières infections remontent au mois de septembre. Quelqu’un a chargé une application censée contrôler les SMS/MMS, les appels et le trafic. Après le lancement de l’application, un message indiquait qu’elle était incompatible avec la version d’Android de l’appareil de la victime. Ensuite, le compte de l’utilisateur était vidé.

Pour rappel, avant l’apparition des programmes malveillants de la famille Trojan-SMS.AndroidOS.Foncy, les chevaux de Troie par SMS visaient principalement les utilisateurs russes et chinois. Les chevaux de Troie par SMS sont devenus une des méthodes les plus simples à la disposition des cybercriminels pour gagner de l’argent. Malheureusement, l’utilisation « malveillante » de numéros payants et de SMS surtaxés a commencé à se propager au reste du monde et nous sommes convaincus que ce processus va se poursuivre à court terme.

Menaces pour MacOS

A l’heure actuelle, les utilisateurs du système d’exploitation Windows ne doivent pas s’étonner de la présence de chevaux de Troie et de vers sur les sites proposant des versions pirates de logiciels populaires. Pour les utilisateurs de Mac OS, ce phénomène est toujours une nouveauté. Ainsi, à la fin du mois d’octobre, un nouveau programme malveillant baptisé Backdoor.OSX.Miner a été détecté dans les torrents diffusant des versions piratées d’applications pour Mac. Ce programme malveillant remplit plusieurs fonctions malveillantes :

  1. ouverture de l’accès à distance à l’ordinateur infecté ;
  2. collection d’informations sur l’historique de la navigation dans Safari ;
  3. création de captures d’écran ;
  4. vol du fichier wallet.dat du client Bitcoin ;
  5. lancement non autorisé du programme d’extraction de bitcoins.

Ce programme malveillant est diffusé via plusieurs torrents tels que publicbt.com, openbittorrent.com et thepiratebay.org.


Exemple de torrent diffusant Backdoor.OSX.Miner

Selon nos estimations, à la fin du mois de novembre, le programme malveillant Backdoor.OSX.Miner avait infecté des dizaines de systèmes Mac.

Attaques contre les réseaux des entreprises et des grandes organisations

Steam compromis

Les histoires liées aux attaques contre les services de Sony Playstation Network au début de l’année ont refait surface suite à la découverte d’un incident au mois de novembre impliquant une autre société de jeux : le service Steam de la société Valve. Des pirates inconnus ont réussi à s’introduire dans le forum du service et à diffuser plusieurs messages contenant des liens vers des vidéos expliquant comment entrer dans le jeu vidéo. La société Valve a alors mis le serveur hors ligne pour régler le problème et c’est à cette occasion que l’attaque contre la base principale de Steam a été détectée.

La base de données compromise contenait des informations telles que les noms des utilisateurs, les mots de passes mis en cache et soumis au salage, les données relatives aux achats de jeux, les adresses de messagerie des utilisateurs, les adresses d’envoi des factures et les données cryptées des cartes de crédit.

La direction de Valve a pris la décision de contacter tous les utilisateurs du service afin de les informer de l’incident. Le message indiquait que la société n’avait découvert aucun élément laissant penser que les numéros cryptés des cartes de crédit ou les données personnelles avaient été volés par les pirates mais que l’enquête se poursuivait. Aucune donnée ne faisait état de l’utilisation des cartes de crédit des utilisateurs du service Steam par les individus malintentionnés, mais la direction de Valve incitait malgré tout les utilisateurs à surveiller les transactions réalisées à l’aide des cartes bancaires et d’être attentif aux relevés de compte.

Autres problèmes de certification

Cette année est riche en événements impliquant les centres de certification. Il y a d’abord eu le cas de Comodo, puis CA DigiNotar aux Pays-Bas. De plus, plusieurs certificats volés utilisés dans des programmes malveillants, dont le cheval de Troie Duqu, ont été détectés. Le problème de la perte de confiance numérique est vraiment d’actualité et il n’existe encore aucun moyen de le résoudre.

Au mois de novembre, la société KPN, un autre centre de certification hollandais, a signalé qu’elle avait été attaquée par des pirates et elle a arrêté d’octroyer des certificats.

L’attaque avait été rendue possible par une faille dans le serveur Internet de KPN chargé de l’infrastructure des clés publiques (PKI). L’attaque remonte à au moins quatre ans.

La société KPN, mieux connue pour ses activités dans les télécommunications, a racheté la société Getronics il y a quatre ans. Getronics, à l’instar de DigiNotar, était habilitée à octroyer des certificats. Tout comme DigiNotar, KPN est autorisée à octroyer des certificats spéciaux pour les services publics et gouvernementaux des Pays-Bas. KPN est un centre de certification plus important que DigiNotar. Après l’attaque contre DigiNotar, de nombreuses organisations hollandaises ont sollicité les services de KPN.

Pour l’instant, on ne sait pas encore si on peut exclure une attaque contre le ou les serveurs du centre de certification. De plus, il faut absolument savoir pourquoi il aura fallu quatre ans pour détecter l’utilitaire utilisé pour réaliser les attaques de type DDoS.

Il est particulièrement intéressant de voir que la déclaration de KPN peut être interprétée comme une confirmation du maintien de la validité des certificats déjà octroyés (indépendamment du reste).

Un incident encore plus grave a touché le centre de certification Digicert (CA Digicert Malaysia) en Malaisie. Il a été retiré de la liste des centres de confiance de tous les éditeurs de navigateurs Internet et de la société Microsoft. Ces mesures étaient justifiées par l’annonce de la diffusion par ce centre de 22 certificats dotés d’une clé faible de 512 bits et de certificats sans extensions obligatoires définissant la durée de validité de l’utilisation des certificats et sans informations sur la durée de validité.

Jerry Pliant, représentant de Microsoft, a déclaré que rien n’indique que ces certificats ont été obtenus de manière frauduleuse, mais vu l’utilisation de clés faibles, il était possible de compromettre certains d’entre eux.

Il est intéressant de constater que plusieurs programmes malveillants signés par des certificats délivrés par le Malaysian Agricultural Research and Development Institute, une institution publique de Malaisie, ont été découverts au mois de novembre. D’après des représentants de cet Institut, le certificat avait été dérobé. Une question demeure : si l’Institut était au courant du vol, pourquoi le certificat n’a-t-il pas été révoqué à temps ?

Classements du mois de novembre

TOP 10 des programmes malveillants sur Internet

1 Malicious URL 81,41% 0
2 Trojan.Script.Iframer 4,57% 0
3 Trojan.Script.Generic 1,67% 1
4 Trojan.Win32.Generic 0,74% -1
5 Trojan-Downloader.Script.Generic 0,61% 2
6 Trojan.JS.Popupper.aw 0,37% 3
7 Exploit.Script.Generic 0,36% -2
8 Trojan.JS.Agent.bwi 0,24% New
9 Exploit.Java.CVE-2010-4452.a 0,21% New
10 AdWare.Win32.Screensaver.i 0,16% New

Top 10 des pays dont les ressources hébergent les programmes malveillants :

1 États-Unis 26,72% 0
2 Allemagne 14,52% 1
3 Fédération de Russie 12,58% -1
4 Pays-Bas 11,67% 0
5 Ukraine 6,69% 0
6 Îles vierges britanniques 3,99% 1
7 Chine 3,64% 1
8 Roumanie 2,11% 2
9 Royaume-Uni 1,45% -3
10 Canada 1,11% New

Top 10 des serveurs d’hébergement malveillant

1 adv-downloader.in 11,83%
2 72.51.44.90 10,69%
3 rm-download.in 7,22%
4 69.170.135.91 6,71%
5 livestaticforus.info 6,37%
6 rx-downloader.in 6,04%
7 youtubedownload.altervista.org 3,91%
8 origin-ics.clickpotato.tv 3.87%
9 tizerplatform.com 3,60%
10 advancedadv.net 3,46%

Top 10 des domaines malveillants

1 com 35509894
2 ru 14482880
3 info 5891872
4 co.in 5221964
5 in 4197274
6 net 3493864
7 org 1971202
8 me 1953502
9 tv 536867
10 pl 384305

Top 10 des pays dont les internautes ont été le plus exposés au risque d’infection via Internet

1 Fédération de Russie 44,88% 0
2 Arménie 39,21% 0
3 Corée, République de 38,03% 6
4 Kazakhstan 36,86% 4
5 Biélorussie 35,39% -2
6 Ukraine 33,43% 0
7 Azerbaïdjan 33,14% 3
8 Soudan 28,76% -1
9 Ouzbékistan 28,63% New
10 Moldavie 28,13% New

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *