Courrier indésirable au deuxième trimestre 2013

Le trimestre en chiffres

  • Par rapport au premier trimestre 2013, le volume de messages non sollicités dans le courrier a augmenté de 4,2 % pour atteindre 70,7 %.
  • La part des messages de phishing dans le courrier a diminué de 0,0016 % et atteint 0,0024 %.
  • 2,3% des messages électroniques contenaient des fichiers malveillants, soit 1% de moins que le trimestre précédent.

Méthodes et astuces

Les revenus que les diffuseurs de messages non sollicités tirent de leur activité varient en fonction des types de message. Une diffusion  traditionnelle de publicité pour une petite entreprise donne un type de revenu. La diffusion de publicités pour le viagra dans le cadre de laquelle l’organisateur de la diffusion est payé pour chaque client qui a cliqué sur le lien dans le message et acheté le médicament fournit un autre type de revenu. Mais le plus intéressant du point de vue financier est le courrier indésirable malveillant : le diffuseur de courrier indésirable reçoit bien plus pour chaque ordinateur infecté que pour un cachet vendu. Les diffuseurs de ce genre de message ont tout intérêt à ce que le programme malveillant infecte l’ordinateur et c’est peut-être pour cette raison qu’ils adoptent plus souvent différentes astuces ou qu’ils pratiquent l’ingénierie sociale.

Messages malveillants pour les employés de société

Au cours de ce trimestre, de nombreux messages malveillants ont été envoyés à des employés de sociétés.

Tous ces messages avaient l’aspect de notifications automatiques : notifications sur l’impossibilité de remettre ou de recevoir un message, notification sur la réception d’un fax ou d’un scan.

Ces messages n’exploitent pas les trucs connus de l’ingénierie sociale comme les menaces ou les promesses d’importantes sommes d’argent en cas d’ouverture de la pièce jointe. C’est précisément cela qui rend ces messages moins suspects. Les individus malintentionnés jouent sur le fait que l’employé de la société ne va pas prêter attention au détail et qu’il va considérer ce message comme un message authentique et ouvrir la pièce jointe malveillante.

Ce message, qui imite un message envoyé par un serveur de messagerie, est une notification de non remise de message.

 

Il ressemble à un message envoyé par le MAILER-DAEMON du domaine auquel appartient l’adresse du destinataire et ressemble à une notification traditionnelle. Toutes les questions devaient être adressées à postmaster@<userdomain>. Ce message possédait un fichier exécutable en pièce jointe (sous différents noms : instruction.exe, mail.scr, etc.), détecté par Kaspersky Lab sous le nom Email-Worm.Win32.Mydoom.m.

De nombreux messages malveillants étaient également des copies de notifications automatiques envoyées par un scanner ou un fax pour signaler la réception d’un nouveau document.

 

 

Il va de soi que les pièces jointes de ces messages contenaient également des programmes malveillants. Il est intéressant de voir que de nombreux messages de ce genre provenaient d’appareils HP et du service JConnect, très répandus dans les entreprises. De plus, ces messages étaient envoyés aux adresses professionnelles et non privées. Et il est vrai qu’un tel message suscitera une plus grande confiance chez l’utilisateur si la société pour laquelle il travaille utilise une technologie ou un service de cette société.

Les diffuseurs de messages non sollicités aiment bien entendu toujours exploiter le thème de la sécurité. Un de ces messages imitait un message de Citigroup relatif à la réception d’un message chiffré.

 

La pièce jointe de ce message contenait le cheval de Troie connu sous le nom de Trojan-PSW.Win23.Tepfer.nblo dans la classification de Kaspersky Lab.

L’aspect de ces messages est tout à fait normal et ils n’éveillent aucun soupçon, surtout pas chez un employé concentré sur sa tâche. Le seul élément louche pourrait être la présence d’une pièce jointe exécutable, mais de nombreux utilisateurs ne la voient pas.

Il faut signaler que les programmes malveillants qui visent les utilisateurs au sein de réseaux d’entreprise sont propagés à l’aide de différentes méthodes. Les employés ne doivent jamais oublier que des documents Office peuvent contenir du code malveillant et ils doivent être particulièrement attentifs lorsqu’ils reçoivent des messages avec la moindre pièce jointe.

Messages en provenance de « ressources populaires »

Nous avons déjà évoqué à plusieurs reprises les messages qui imitent des messages envoyés par des réseaux sociaux, des magasins, des lignes aériennes, etc. Ces messages sont toujours très répandus. Walmart est venu rejoindre la liste des noms de magasin utilisés par les diffuseurs de courrier indésirable dans leurs messages.

 

Ces faux messages évoquaient un achat réalisé dans le magasin. Tous les liens de ces messages menaient à des sites compromis qui redirigeaient l’utilisateur vers un site malveillant avec des codes d’exploitation.

Cartes postales malveillantes

Avant, des cartes postales avec des pièces jointes malveillantes étaient diffusées par les individus malintentionnés à l’occasion de chaque fête. De nos jours, cette pratique est devenue rare. Ceci étant, nous avons identifié au cours de ce trimestre des diffusions malveillantes de ce genre qui exploitent la renommée du grand producteur de cartes américain Hallmark.

 

La pièce jointe apparaît dans la classification de Kaspersky Lab sous le nom Trojan.Win32.Buzus.liez.

Texte parasite

Outre les cartes postales électroniques malveillantes, nous avons revu ce trimestre un "vieux de la vieille". Au premier trimestre 2013, une des astuces employées par les individus malintentionnés consistait à utiliser du "texte invisible", à savoir du texte aléatoire ajouté au bas du message dans une couleur identique à celle du fond. Une astuce pratiquement identique a été employée au cours de ce semestre : du texte aléatoire était ajouté, mais cette fois-ci les diffuseurs n’ont pas pris la peine de le rendre invisible. Ils se sont contentés de le séparer du texte principal à l’aide de plusieurs sauts de ligne. Tous ces textes provenaient de différents fils d’informations. Donc, le destinataire voyait au début du message une image qui attirait l’attention et qui proposait des marchandises ou des services divers, mais s’il faisait défiler le message jusqu’en bas, il pouvait lire, en caractères minuscules, un extrait de texte relatif à Hugo Chavez, au Marathon de boston ou à la guerre en Corée.

 

 

Statistiques

Part du courrier indésirable

La part du courrier indésirable dans le trafic de messagerie au deuxième trimestre a atteint 70,7 %. Ceci représente une augmentation de 4,2 % par rapport au trimestre précédent. Il ne faut toutefois pas croire que nous sommes ici face à une tendance : si l’indice du trimestre précédent a été si bas, c’est uniquement à cause du faible volume de messages non sollicités enregistrés en janvier (58,3 %). Au cours des autres mois, le pourcentage de courrier indésirable dans le trafic de messagerie était proche de 70.

 
Part du courrier indésirable dans le trafic de messagerie au premier trimestre 2013

Ces faibles variations de la part du courrier indésirable dans le trafic de messagerie peuvent confirmer une certaine stabilisation après les pics et les chutes marqués de ces dernières années.

Pays, source du courrier indésirable

Pays, source du courrier indésirable

 
Répartition des sources de courrier indésirable par pays au deuxième trimestre 2013

Les principales sources de courrier indésirable parmi les pays sont identiques, même si la part de messages non sollicités envoyés depuis ceux-ci a quelque peu diminué : il s’agit de la Chine (-1,2 %), des Etats-Unis (-0,9 %) et de la Corée du Sud (-3 %).

Les parts de courrier indésirable en provenance de Taïwan (+1,6 %) et du Viet Nam (+1,1 %) ont légèrement augmenté : ces deux pays occupent respectivement les 4e et 5e positions à l’issue du 2e trimestre.

La situation de quelques républiques de l’ex-U.R.S.S. est intéressante. En Ukraine, au Kazakhstan et en Biélorussie, la part de courrier indésirable sortant a sensiblement augmenté, au point que ces trois pays ont atteint la 6e, 7e et 8e positions respectivement dans le Top 20 des pays source de courrier indésirable, allant jusqu’à devancer la Russie. Nous tenons à signaler non seulement que la part de ces 3 pays a augmenté simultanément, mais également que la dynamique de cette croissance a été très similaire, avec un pic au mois de mai.

 
Variations du pourcentage de messages non sollicités envoyés depuis la Biélorussie, l’Ukraine et le Kazakhstan, premier semestre 2013

Ces chiffres témoignent peut-être de l’organisation de nouveaux réseaux de zombies dans ces pays ou de l’existence d’hébergements Internet infectés d’où les messages non sollicités sont envoyés.

Il est intéressant de voir que le courrier dans différentes régions provient de différents pays. Ainsi, l’Europe reçoit beaucoup de courrier indésirable en provenance de la Corée du Sud (47,9 %) alors que la part de messages non sollicités envoyés depuis la Corée vers d’autres régions est très modeste. Le courrier indésirable en provenance de Chine  arrive principalement chez des utilisateurs de la région Asie-Pacifique (64 % du courrier indésirable régional) alors que l’Europe et la Russie ne reçoivent pratiquement pas de messages non sollicités chinois. Aux Etats-Unis, la grande majorité du courrier indésirable est intrarégionale (51,6 % du courrier indésirable régional) En Russie, le courrier indésirable provient de Taïwan (12,2 %), du Viet Nam (9,4 %) et de l’Ukraine (9 %).

Régions, source de courrier indésirable

 
Répartition des sources de courrier indésirable par région au deuxième trimestre 2013

S’agissant des régions, le classement est inchangé par rapport au dernier trimestre, mais les parts de chaque région ont changé. La part de l’Asie, leader de la diffusion de courrier indésirable, a augmenté de 4,5 %. La part de l’Europe de l’Est a augmenté de 2,6 %, principalement à cause de l’augmentation sensible des parts de l’Ukraine et de la Biélorussie dans la diffusion de courrier indésirable.

L’indice de l’Europe de l’Ouest a diminué de près de la moitié (-3,7 %), tandis que l’Amérique latine enregistre un recul de 2,4 %. La part de cette dernière région a atteint un minimum. Pour rappel, il y a à peine deux ans, l’Amérique latine occupait la deuxième position pour la diffusion de courrier indésirable. La part des autres régions a quelque peu diminué : Proche Orient (-0,2 %), Afrique (-0,6 %) et Australie/Océanie (-0,04 %).

Taille des messages non sollicités

 
Tailles des  messages non sollicités, deuxième trimestre 2013

Le courrier indésirable compte toujours une majorité de messages très brefs dont la taille ne dépasse pas 1 Ko. Au deuxième trimestre, le volume de ces messages a augmenté de 4,8 % par rapport au premier trimestre pour atteindre 73,8 % de l’ensemble des messages non sollicités. La petite augmentation de la part des messages dont la taille est comprise entre 50 et 100 Ko est également intéressante. Il s’agit surtout de messages avec des pièces jointes, dont des pièces jointes malveillantes.

Pièces jointes malveillantes dans le courrier

Le nombre de messages avec des pièces jointes malveillantes a diminué de 1 % par rapport au trimestre précédent et représentait 2,3 % du trafic de messagerie.

 
Top 10 des programmes malveillants diffusés par courrier au deuxième trimestre 2013

Le programme malveillant le plus répandu dans le courrier ce trimestre aura été une fois de plus Trojan-Spy.HTML.Fraud.gen. Pour rappel, ce programme, qui se présente sous la forme d’une page HTML imite le formulaire d’ouverture de session sur un service de transactions bancaires par Internet. Les auteurs d’attaques de phishing l’utilisent pour voler les données financières des utilisateurs.

En deuxième place, inchangé par rapport au 1er trimestre, nous retrouvons le ver de messagerie Email-Worm.Win32.Bagle.gt, capable non seulement de diffuser ses copies aux membres du carnet d’adresses de l’utilisateur, mais également d’exécuter des commandes à distance pour l’installation d’autres programmes malveillants.

La troisième place est occupée par une modification connue du logiciel espion ZeuS/Zbot : Trojan-Spy.Win32.Zbot.Ibdda. Les programmes ZeuS/Zbot visent à voler différents types d’informations confidentielles sur les ordinateurs des victimes, dont les données des cartes de crédit.

La quatrième place est occupée par Trojan-PSW.Win32.Tepfer.hjva. Les programmes de cette catégorie vise à voler les mots de passe d’accès à différents comptes.

Viennent ensuite plusieurs vers de messagerie et deux autres modifications du cheval de Troie espion ZeuS/Zbot. La porte dérobée Backdoor.Win32.Androm.pta figure également dans le Top 10. Les programmes de ce type permettent à un individu malintentionné d’administrer un ordinateur infecté à l’insu de son propriétaire, par exemple télécharger d’autres fichiers malveillants et les exécuter, envoyer diverses informations contenues sur l’ordinateur de la victime, etc. De plus, les ordinateurs qui sont infectés par de tels programmes sont souvent recrutés dans des réseaux de zombies.

Il est bon de savoir que même si un programme malveillant possède plusieurs versions, les fonctionnalités de celles-ci ne diffèrent pratiquement pas. C’est la raison pour laquelle nous publions également un diagramme pour les familles les plus répandues : il donne une meilleure représentation de la répartition des pièces jointes malveillantes dans le courrier.

 
Top 10 des familles de programmes malveillants diffusés par courrier au deuxième trimestre 2013

Plus de 40 % des programmes malveillants diffusés par courrier cherchent d’une manière ou d’une autre à voler les informations personnelles des utilisateurs, y compris les informations financières.

La liste des pays qui reçoivent le plus de messages malveillants a enregistré quelques modifications.

 
Répartition des déclenchements de l’Antivirus Courrier par pays au deuxième trimestre 2013

Les Etats-Unis conservent la première position, malgré un recul de 1,2 %. La Russie enregistre une progression fulgurante de la 8e à la 2e position (+8,3 %) ; le pourcentage de déclenchements de l’Antivirus Courrier a été démultiplié dans ce pays. Cette progression est due au mois de juin où la part de déclenchements de l’Antivirus Courrier en Russie a atteint 29,3 %. Les familles de programmes malveillants les plus répandues en Russie sont Net-Worm.Win32.Kolab et Trojan-GameThief.Win32.Magania. Kolab est une famille de programmes malveillants dotés d’une fonction de porte dérobée qui empêche l’action des logiciels antivirus et qui permet la réception de commandes à distance envoyées par l’individu malintentionné. Les programmes de la famille Magania sont créés pour voler les noms d’utilisateur et les mots de passe des comptes du jeu en ligne Maple Story mais ils possèdent également une fonctionnalité de ver (diffusés via les clés USB).

Suite à la forte progression de la Russie, l’Allemagne est passée de la 2e à la 3e position (-1,9 %). L’Inde et l’Australie conservent leur place dans le classement, même si la part de messages malveillants envoyés dans ces pays a quelque peu diminué : de 0,9 % en Inde et de 1,1 % en Australie. La part de déclenchement de l’Antivirus Courrier dans les autres pays n’a pratiquement pas changé.

Phishing

La part des messages de phishing dans le courrier au deuxième trimestre a diminué de 0,0016 % et atteint 0,0024 %.

 
Répartition du TOP 100 des organisations victimes d’attaque de phishing, par catégorie, deuxième trimestre 2013

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Globalement, la répartition des organisations victimes d’attaques de phishing n’a pas beaucoup changé par rapport au trimestre précédent. La part d’attaques contre les réseaux sociaux a diminué de 3,3 %. La part d’attaque contre les organismes financiers a augmenté de 1,2 %, ce qui les place en 2e position dans ce classement.

La part d’attaques contre les fournisseurs a augmenté de 1,8 % et de 2 % contre les services de messagerie électronique. L’augmentation enregistrée ce trimestre dans le nombre d’attaques contre les services de messagerie électronique est liée à l’augmentation sensible des attaques en juin (elles avaient atteint à cette époque 13,2 %). La part des attaques contre les autres organisations a changé de moins de 1 %.

De plus en plus souvent, les auteurs d’attaques de phishing préfèrent ne pas compter sur le facteur humain et ils n’attendent pas que l’utilisateur saisisse lui-même les données. Ils préfèrent envoyer des messages malveillants avec des chevaux de Troie qui vont voler les informations d’identification de l’utilisateur, notamment les données d’accès à des services de transactions bancaires par Internet.

Les pièces jointes peuvent contenir non seulement une multitude de faux formulaires de Facebook ou d’autres sites fréquentés, mais également des messages qui auraient été envoyés par une banque.

 

Ces messages sont loin d’être parfaits (notamment, la juxtaposition de synonymes, résultat caractéristique des erreurs des programmes de diffusion de messages non sollicités). Pour le reste, ils ne suscitent pas la méfiance des utilisateurs. Et la pièce jointe n’est même pas un fichier exe ou un .exe sous forme d’archive car les utilisateurs se méfient. Par contre, le document Word à l’aspect inoffensif contient un code d’exploitation, nommé Exploit.MSWord.Agent.dj dans la classification de Kaspersky Lab, capable d’exploiter une vulnérabilité pour contourner la protection de l’ordinateur et télécharger des programmes malveillants qui vont voler les données personnelles de l’utilisateur.

Conclusion

Depuis février 2013, la part de courrier indésirable dans le trafic de messagerie n’a pratiquement pas changé. C’est la première fois que nous observons une aussi longue période de stabilité : il y a quelques années, cet indice variait énormément. Il est probable que la part de messages non sollicités se maintienne à ce niveau à l’avenir.

Nous observons des modifications dans la liste des pays source de courrier indésirable : la part de messages non sollicités en provenance d’Ukraine, de Biélorussie et du Kazakhstan a fortement augmenté. Ceci témoigne de l’existence de nouveaux réseaux de zombies ou d’hébergeurs de sites Internet infectés dans le territoire de ces pays. C’est précisément depuis les hébergeurs que de plus en plus de messages non sollicités sont envoyés.

Le classement des programmes malveillants diffusés par courrier est dominé par les familles qui visent à voler les données d’accès aux comptes des utilisateurs dans divers services, dont les services de transactions bancaires par Internet. La part des messages avec des pièces jointes malveillantes adressés à des utilisateurs en Russie a sensiblement augmenté.

Ces derniers temps, les diffuseurs de messages non sollicités envoient des messages avec des pièces jointes malveillantes qui ressemblent à des notifications d’échec de la remise du message. On trouve également de faux messages de sites connus contenant  des liens vers des sites malveillants. Nous conseillons aux clients d’être très prudents, même avec les messages qui vous semblent tout à fait légitimes. 

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *