Bulletin de Kaspersky sur la sécurité Courrier indésirable en 2013

Chiffres de l’année

  • La part de courrier indésirable en 2013 a atteint une moyenne de 69,6 %, soit 2,5 % de moins qu’en 2012.
  • La part de messages contenant des pièces jointes malveillantes a atteint 3,2 %, soit 0,2 % de moins que par rapport à 2012.
  • 32,1 % des attaques de phishing ont visé les réseaux sociaux.
  • La part la plus importante de courrier indésirable (23 %) provenait de Chine.
  • 74,5 % des messages non sollicités envoyés ne dépassaient pas 1 Ko.

Migration depuis le courrier indésirable faisant la publicité de biens et de services légitimes

Criminalisation du courrier indésirable à caractère commercial

L’année dernière, nous avions écris que le volume de courrier indésirable assurant la promotion de biens et de services légitimes allait progressivement diminuer. Bien souvent, les fournisseurs de ces biens et de ces services préfèrent la publicité honnête au courrier indésirable car Internet propose toujours plus de manières de faire de la publicité et celle-ci est plus efficace et moins chère que le courrier indésirable.

Certaines catégories de publicités commerciales dans le courrier indésirable sont progressivement remplacées par des diffusions à caractère criminel. La catégorie "Vacances et voyages" en est un excellent exemple.   Avant, le courrier indésirable de cette catégorie représentait de 5 à 10 % du flux de messages non sollicités et la majorité de ces messages portait sur différentes offres de voyages, d’excursions et de billets. Actuellement, ce type de publicité commerciale dans les messages non sollicités est rare mais nous observons une multitude de messages malveillants qui exploitent la thématique du tourisme et des vacances.

Les fausses confirmations de réservations de chambres ou de billets d’avion sont devenues monnaie courante dans le courrier indésirable et elles ont été présentes tout au long de l’année. Les pièces jointes de ces messages n’ont rien à voir avec des confirmations de réservation. Il s’agit toujours d’un programme malveillant (et plus particulièrement Trojan-PSW.Win32.Tepfer et Backdoor.Win32.Androm.qt).

 

 

Cette année, les diffusions malveillantes de messages imitant les confirmations de réservations de billets et de chambres d’hôtels ont innové en ajoutant également des messages relatifs à des réservations de croisière.

 

Le texte de ces messages est identique à celui des fausses notifications de réservation de billets et de chambres d’hôtels : message impersonnel, notification sur la réservation et pièce jointe malveillante.

Ainsi, alors qu’il y deux ans le courrier indésirable pouvait en effet influencer le destinataire dans l’achat d’une excursion, d’un billet ou d’un séjour à l’hôtel, les versions actuelles de ces messages proposent en général non pas de la publicité pour des vacances, mais bien un programme malveillant.

La thématique des voyages intéressent non seulement les diffuseurs de programmes malveillants, mais également les escrocs. En 2013, nous avons enregistré plusieurs diffusions qui utilisaient les messages non sollicités de cette catégorie pour le blanchiment d’argent volé à l’aide de cartes de crédit. Ces messages non sollicités, qui contenaient une demande de réservation, étaient envoyés en comptant sur le fait que quelques-uns d’entre eux arriveraient à des adresses de messagerie électronique d’hôtel.

 

Si l’employé de l’hôtel répondait au message, les diffuseurs de ces messages non sollicités demandaient que la somme prélevée sur la carte soit bien supérieure au montant de la réservation (parfois, cette demande était formulée dès le premier message). Les escrocs souhaitaient que la différence soit envoyée via Western Union à une adresse qu’ils indiquaient. Pour justifier cette demande, ils expliquaient qu’une partie de cet argent était destinée à l’agence de voyage qui organisait l’excursion. Les auteurs du message avaient inventé les raisons les plus diverses pour expliquer pourquoi l’agence ne pouvait pas prélever l’agent directement sur la carte ou pourquoi ils ne pouvaient simplement pas payer par virement bancaire. Après quelques jours, les escrocs annulaient la réservation de la chambre et recevaient la deuxième partie de l’argent (déjà "blanchi").

Diffusions grises

Un autre problème est lié au fait que d’un côté, les commanditaires des publicités veulent envoyer des messages bien mis en page (sans aucune astuce ou invention des diffuseurs des messages qui nuisent à l’efficacité de la publicité) qui atteindront l’utilisateur. Et de l’autre, ils ne souhaitent toujours pas se limiter au cercle restreint de leurs abonnés, mais préfèrent envoyer les messages à plusieurs millions d’adresses.

Cela entraîne l’augmentation de ce que l’on appelle les diffusions "grises". Il s’agit de messages légitimes qui ne sont pas envoyés par des réseaux de zombies mais bien par les propres serveurs des diffuseurs. De plus ces messages offrent la possibilité de s’abonner aux diffusions ou de se désabonner. Toutefois ces messages sont envoyés non seulement aux abonnés, mais également à des personnes qui n’ont pas marqué leur accord pour la réception de tels messages mais dont l’adresse de messagerie figurait dans une énorme base d’adresses achetées. (Pour rappel, la législation de nombreux pays interdit la diffusion de message sans l’accord préalable des destinataires).

Dans cette situation, une partie de la diffusion est légale et l’autre n’est que du courrier indésirable. Cela pose un nouveau défi aux acteurs qui luttent contre le courrier indésirable et nous allons observer l’émergence de nouvelles technologies qui reposeront sur la réputation du diffuseur.

Tendance de 2013 : faux messages d’éditeurs de logiciel antivirus

En général, les messages malveillants et d’escroquerie visent des individus très naïfs ou qui ne maîtrisent pas vraiment les règles de sécurité à respecter sur Internet.  Il est peu probable qu’un individu sensé croit en l’authenticité du message qui lui annonce qu’il vient de gagner plusieurs millions de dollars. Et l’internaute qui connaît les principes de base de la sécurité informatique ne cliquera certainement pas sur le lien dans le message "de la banque" et il ne saisira pas le mot de passe d’accès à son compte en banque.

En 2013, nous avons observé plusieurs diffusions qui ressemblaient à des notifications envoyées par des éditeurs de logiciels antivirus, autrement des messages destinés à des utilisateurs maîtrisant l’abc de la sécurité. 

Remarquez que les experts en sécurité informatique rappellent sans cesse aux utilisateurs qu’ils doivent mettre à jour régulièrement leurs antivirus car ceci est primordial pour garantir une protection fiable des ordinateurs. C’est précisément sur ce point que les cybercriminels ont tenté de jouer.  Le message envoyé au nom d’un éditeur de logiciels antivirus invitait l’utilisateur à mettre à jour le système sur le champ à l’aide du fichier en pièce jointe. Le contenu du texte ne variait pas d’un message à l’autre tandis que les noms de presque tous les éditeurs de logiciels antivirus connus étaient utilisés dans le champ de l’expéditeur : Kaspersky Lab, McAfee, ESET, Symantec, etc.

 

En réalité, la pièce jointe contenait un programme malveillant détecté par Kaspersky Lab sous le nom Trojan-Spy.Win32.Zbot.qsjm. Ce cheval de Troie appartient à la célèbre famille ZeuS/Zbot et vise à voler les informations confidentielles de l’utilisateur et avant tout, les informations à caractère financier. Il est capable de modifier le contenu des pages des sites de banques, ouverts dans le navigateur de l’utilisateur en y introduisant des scripts malveillants afin d’obtenir les informations d’identification (nom d’utilisateur, mots de passe, codes de sécurité). Ce cheval de Troie peut également voler des informations privées via les captures d’écran (statiques ou vidéo), l’interception des frappes au clavier, etc. Il est intéressant de noter que pour pouvoir obtenir ses instructions et son fichier de configuration, Trojan-Spy.Win32.Zbot.qsjm ne contacte pas un centre de commande : il utilise le protocole P2P et obtient les informations requises depuis d’autres ordinateurs infectés.

Une astuce similaire a d’ailleurs été utilisée dans une autre diffusion : l’utilisateur recevait un faux message qui reproduisait une notification du service d’assistance technique d’un éditeur de logiciels antivirus relatives aux résultats de l’analyse d’un fichier envoyé par l’utilisateur.

 

Le message contenait le fichier qui devait permettre de débarrasser le système du programme malveillant. L’archive contenait en réalité le ver de messagerie détecté par Kaspersky Lab sous le nom de Email-Worm.Win32.NetSky.q. Ce ver récolte les adresses de messagerie électronique dans les carnets d’adresses des victimes.

Événements mondiaux et courrier indésirable

En 2013, ceux qui se cachent derrière les messages non sollicités ont beaucoup exploité la couverture médiatique de différents événements internationaux. La majorité absolue des diffusions de messages non sollicités exploitant des faits d’actualité marquants étaient des diffusions malveillantes ou des escroqueries. 

Par exemple, l’annonce du décès du président Hugo Chavez au Venezuela fut utilisée aussi bien dans des messages d’escroquerie que dans des messages malveillants. Toutefois, chaque catégorie de diffuseurs de courrier indésirable possède son type d’actualités préféré. Les messages d’escroquerie à la nigériane font souvent référence à des événements qui surviennent en Asie et au Moyen-Orient tandis que les messages contenant des liens malveillants sont plus axés sur des événements européens ou américains. L’autre différence à signaler est que les messages d’escroquerie sont diffusés en plusieurs langues (il est vrai qu’il s’agit souvent de traduction automatique) tandis que le courrier indésirable malveillant est toujours diffusé en anglais.

En 2013, les messages d’escroquerie à la nigériane auront beaucoup fait allusion au renversement du président égyptien Mohamed Morsi et à la situation politique complexe qui règne en Syrie. Les escrocs employaient toutes les techniques traditionnelles de ce genre de message pour tenter d’extorquer de l’argent aux victimes.  Nous avions vu des diffusions similaires après la mort de Mouamar Khadafi ou après l’emprisonnement du président Hosni Moubarak. Tous ces messages se ressemblent énormément, bien que les auteurs des diffusions tentent d’inventer de nouvelles histoires. Ainsi, des exemplaires de messages non sollicités traitant des événements en Syrie avaient été envoyés prétendument par des soldats américains :

 

L’élection du nouveau Pape, la naissance du fils du prince William en Angleterre, les révélations d’Edward Snowden sont autant d’événements qui ont été utilisés dans le courrier indésirable malveillant. Ces messages sont en général présentés sous les traits de diffusions de campagnes d’information et contiennent le lien vers du matériel intéressant. Toutefois, l’utilisateur qui clique sur un tel lien est redirigé vers un site qui héberge des programmes malveillants.

 

De nombreux messages malveillants mentionnant des événements d’actualité contenaient des liens vers des sites où se trouvait le kit d’exploitation Blackhole. Il faut signaler qu’après l’arrestation au mois d’octobre de l’auteur supposé du kit d’exploitation Blackhole, les auteurs de diffusion de messages non sollicités ont arrêté d’utiliser ces modèles. Il s’agit plus que probablement d’un phénomène passager et nous allons bientôt revoir ces messages "d’information" avec des liens vers d’autres programmes malveillants.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

Par rapport à l’année dernière, la part du courrier indésirable dans le trafic de messagerie a diminué de 2,5 % pour atteindre 69,6 % en moyenne. Pour la première fois depuis longtemps, la moyenne annuelle du volume de courrier indésirable n’a pas atteint les 70 %.

 
Part du courrier indésirable dans le trafic de messagerie en 2013 г.

Il faut signaler également que tout au long de l’année (sans tenir compte de la valeur anormalement basse du mois de janvier), les parts de courrier indésirable n’ont pratiquement pas changé d’un mois à l’autre. Ceci permet de parler d’une certaine stabilité et l’on peut affirmer sans crainte que la part de courrier indésirable ne va pas beaucoup changer au cours de l’année qui vient.

Répartition des sources de courrier indésirable par pays

 
Répartition des sources de courrier indésirable par pays en 2013

La Chine (+3,5 %) et les Etats-Unis (+2 %) demeurent les leaders de la diffusion de messages non sollicités à travers le monde. Ces deux pays sont la source de 40,6 % des courriers indésirables au niveau mondial. La première et la deuxième position que ces pays occupent dans notre classement correspondent aux positions de la Chine et des Etats-Unis dans le classement des pays par nombre d’internautes (Chine en 1ère position et Etats-Unis en 2e).

La Corée du Sud atteint la 3e position. Sa part a été multipliée par 3,5 par rapport à l’année précédente. L’indice de Taïwan a également sensiblement augmenté (+3,7 %), ce qui lui permet d’occuper la 4e position.

La part du Kazakhstan, de l’Ukraine et la Biélorussie ont également augmenté. L’émission de courrier indésirable depuis ces pays a été particulièrement active au cours du 2e trimestre 2013 :

 
Pourcentage de courrier indésirable envoyé depuis l’Ukraine, le Kazakhstan et la Biélorussie en 2013

La part du Brésil a été divisée par 4, ce qui a provoqué sa chute de la 4e à la 16e position. De son côté, la part du Canada a connu une progression remarquable. Alors que ce pays ne faisait pas partie du Top 20, il fait son entrée en 14e position en 2013.

 
Pourcentage de courrier indésirable envoyé depuis le Canada et le Brésil en 2013

Signalons que le Canada ne dispose pas encore d’une législation qui lutte contre le courrier indésirable. L’idée de rédiger une telle législation remonte à 2005 et d’après James Moore, ministre de l’Industrie du Canada, cette loi devrait finalement entrer en vigueur au 1er juillet de l’année prochaine. Outre le courrier indésirable, cette loi vise à réglementer certains domaines liés au courrier indésirable comme l’organisation de réseaux de zombies, la diffusion de messages de phishing et de programmes malveillants.

Régions d’origine du courrier indésirable

 
Répartition des sources de courrier indésirable par région en 2013

S’agissant des régions d’origine du courrier indésirable, la première et la deuxième position sont une fois de plus occupées par l’Asie (+5,3 %) et l’Amérique du Nord (+3,2 %) L’Europe de l’Est occupe la 3e position : sa part a doublé par rapport à l’année dernière.

La part de l’Europe de l’Ouest a reculé de 2,4 %, mais elle occupe toujours la 4e place du classement. La part de l’Amérique latine a triplé et elle occupait la 5e position en 2013.

Taille des messages non sollicités

 
Répartition des messages non sollicités par taille en 2013

On peut déclarer sans crainte que l’année 2013 aura été celle des messages super-courts. 74,5 % des messages ne dépassaient pas 1 Ko. L’utilisation de messages compacts permet aux diffuseurs d’envoyer plus de messages en réduisant les dépenses pour le trafic. Il est assez simple de créer, à l’aide de robots, des phrases courtes qui changent complètement d’un message à l’autre et qui contiennent des dizaines de mots thématiques et du contenu parasite. On obtient ainsi des messages uniques, ce qui complique la tâche des filtres antispam. Généralement, ces messages contiennent des liens vers des sites publicitaires. La publicité pour des médicaments de type Viagra ou Cialis est représentative des messages super-courts.

Pièces jointes malveillantes dans le courrier

La part de messages contenant des pièces jointes malveillantes en 2013 a atteint 3,2 %, soit 0,2 % de moins que par rapport à 2012.

Pour la troisième année, les programmes malveillants les plus souvent diffusés par courrier indésirable sont les programmes qui cherchent à voler les données confidentielles des utilisateurs, principalement les données d’accès aux services de transactions bancaires par Internet.

 
Top 10 des programmes malveillants diffusés par courrier en 2013

La première place est occupée par Trojan-Spy.HTML.Fraud.gen. Ce programme accompagne souvent les messages de phishing. Il s’agit d’une page HTML qui imite le formulaire d’ouverture de session dans un service de transactions bancaires par Internet. Les auteurs d’attaques de phishing l’utilisent pour voler les informations d’identification des utilisateurs.

De la 2e à la 4e positions, ainsi qu’en 7e et en 9e, nous retrouvons les vers de messagerie Bagle et Mydoom dont la principale fonction est la collecte d’adresses de messagerie électronique depuis les ordinateurs infectés. Le ver de messagerie de la famille Bagle peut également recevoir des commandes à distance pour installer d’autres programmes malveillants.

Trojan-Banker.HTML.Agent.p occupe la 5e position en 2013. A l’instar de Fraud.gen, ce programme malveillant se présente sous la forme d’une page HTML qui imite les pages d’ouverture de session de services de transactions bancaires par Internet ou d’autres services Internet et qui cherche à voler les comptes des utilisateurs.

La sixième position revient à un cheval de Troie espion de la famille Zbot. Les programmes ZeuS/Zbot visent à voler différents types d’informations confidentielles sur les ordinateurs des victimes, dont les données des cartes de crédit. L’année dernière, ce programme malveillant ne figurait pas dans le Top 10, mais cela ne veut pas dire que vous avions perdu de vue Zbot : cette famille de programmes malveillants est très ancienne et ne cesse d’évoluer.

Trojan-PSW.Win32.Tepfer.hjva occupe la 8e position. Les programmes de cette catégorie visent à voler les mots de passe d’accès à différents comptes.

Trojan.Win32.Bublik.aknd arrive en 10e position. Ce programme recueille les mots de passe des FTP, les données d’autorisation d’accès aux services de messagerie et les certificats sur l’ordinateur infecté de l’utilisateur. De plus, ce cheval de Troie peut consulter les formulaires dans les navigateurs Mozilla Firefox et Google Chrome afin de rechercher des noms d’utilisateur et des mots de passe mémorisés. Le programme envoie les données obtenues aux individus malintentionnés.

Certaines familles comptent de nombreuses modifications et d’autres, quelques-unes seulement. C’est la raison pour laquelle le classement des familles de programmes malveillants diffère du classement des programmes malveillants individuels.

 
Top 10 des familles de programmes malveillants diffusés par e-mail en 2013

Outre les familles de programmes Tepfer, Zbot, Bublik, Fraud, Mydoom et Bagle déjà décrites ici, ce classement compte également des nouvelles familles apparues récemment :

  • Backdoor.Win32.Androm. Ces programmes malveillants permettent à un individu malintentionné d’administrer un ordinateur infecté à l’insu de son propriétaire, par exemple télécharger d’autres fichiers malveillants et les exécuter, envoyer diverses informations contenues sur l’ordinateur de la victime, etc. De plus, de tels programmes sont souvent présents dans un Botnet également.
  • Trojan-Ransom.Win32.Blocker. Ce sont des programmes de chantage et d’extorsion. Ils bloquent le système d’exploitation et affichent sur le Bureau une bannière qui reprend les instructions à suivre pour débloquer l’ordinateur, par exemple envoyer un SMS payant à un numéro surtaxé.
  • Trojan-PSW.Win32.Fareit.amdp. Ces programmes analysent le registre et les fichiers système où sont stockées les données confidentielles des utilisateurs. Leur objectif est de trouver des mots de passe, des noms d’utilisateur et autres informations confidentielles et de les transmettre aux individus malintentionnés.
  • Trojan.Win32.Inject. Ces programmes téléchargent sur l’ordinateur infecté d’autres programmes malveillants. 

 
Répartition par pays du nombre d’infections par e-mail détectées par les anti-virus

Le trio de tête des pays qui reçoivent le plus de programmes malveillants reste inchangé par rapport à l’année dernière : Etats-Unis, Allemagne et Grande-Bretagne. Alors que la part des Etats-Unis et de l’Allemagne n’a pratiquement pas changé au cours de l’année, celle de la Grande-Bretagne est passée de 5,4 % au premier trimestre à 11,9 % au quatrième.

 
Evolution du nombre d’infections par e-mails détecté par les anti-virus en Grande Bretagne en 2013

La part des autres pays a peu changé, à l’exception de celle de l’Italie qui a progressé de la 10e à la 5e place (+2,1 %). Le fait est que l’Italie est en première position du Top 10 suite à une diffusion massive de messages contenant Trojan-Banker.HTML.Agent.p en février dernier.

Phishing

 
Répartition du TOP 100 des organisations victimes d’attaque de phishing*, par catégorie en 2013

*Ce classement a été établi à partir des éléments de détections anti-phishing de Kaspersky Lab qui s’activent à chaque fois qu’un utilisateur clique sur un lien de phishing. Tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet sont détectés.

La part d’organisations touchées par le phishing qui ne sont pas directement liées à la finance a augmenté. Dans le Top 100, la part d’attaques contre les réseaux sociaux marque une progression de 7,6 %. Les attaques contre les moteurs de recherche augmentent elles de 1,8 % et celles contre les messageries électroniques ont quadruplé.  De leurs côtés, les indices des organisations financières et des magasins en ligne ont reculé respectivement de 6 et de 12,2 % dans le classement des organisations ciblées par les attaques de phishing.

Cette permutation évidente montre que les auteurs d’attaques de phishing gagnent de l’argent en revendant les comptes d’utilisateur qui peuvent ensuite être utilisés pour diffuser du courrier indésirable ou du contenu malveillant aux contacts des victimes. Au vu de la tendance actuelle à l’unification, un compte peut donner accès à de multiples applications : e-mails, réseaux sociaux, espaces de stockage, etc. De plus, le compte de la victime peut être lié à ses données bancaires. Ces comptes deviennent des cibles de choix pour les cybercriminels.

Conclusion et pronostics

La part du courrier indésirable en 2013 a diminué de 2,5 % par rapport à l’année dernière mais, à partir du mois de février, le pourcentage de courrier indésirable dans le trafic de messagerie n’a pratiquement pas changé. On peut supposer que cet état va se maintenir au cours de cette année. Il faut signaler une hausse sensible des diffusions de spams envoyées à des abonnés et à un large cercle de personnes qui ne sont pas intéressées.

Plus la part d’offres commerciales légitimes diminue dans le courrier indésirable, plus la part de messages d’escroquerie ou malveillant augmente. Et alors que par le passé, les individus malintentionnés exploitaient principalement le manque d’expérience  des utilisateurs, les escrocs doivent aujourd’hui inventer de nouvelles astuces afin de faire face à l’augmentation du nombre d’utilisateurs qui respectent les règles de sécurité informatique. Ainsi, ils envoient un fichier malveillant dans un message relatif à la mise à jour d’un antivirus.

On retrouve de plus en plus souvent parmi les pièces jointes malveillantes des programmes qui visent à voler des données confidentielles et principalement, les informations d’accès aux services de transactions bancaires par Internet. Il est fort probable que cette tendance se maintienne en 2014.

Le phishing quant à lui délaisse les comptes en banque pour les réseaux sociaux et les messageries en ligne. Ceci s’explique en partie par le fait que de nos jours, un compte de messagerie en ligne peut donner accès à un large contenu dont la messagerie électronique, un réseau social, un client de messagerie instantanée, un espace de stockage dans le cloud. Il est parfois même lié à une carte de crédit.

Le courrier indésirable change. Il diffuse de moins en moins de publicité traditionnelle. Par contre, la présence des escroqueries, des programmes malveillants et des messages de phishing augmente. Même les internautes les plus avertis doivent faire preuve d’une très grande prudence pour ne pas tomber dans le piège des escrocs.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *