Courrier indésirable au premier trimestre 2012

Particularités du trimestre

Chiffres du trimestre

  • La part de courrier indésirable a atteint en moyenne 76,6 % du trafic de messagerie. Ce chiffre est en recul de 3 % par rapport aux résultats du quatrième trimestre 2011.
  • Une fois de plus la majorité du courrier indésirable provient d’Asie (44 %) et d’Amérique latine (21 %).
  • La part de messages contenant des pièces jointes malveillantes a augmenté de 0,1 % par rapport au trimestre précédent pour atteindre 3,3 %.
  • La part de messages d’hameçonnage a représenté en moyenne 0,02% du trafic de messagerie.

Fêtes

Le premier trimestre de l’année est riche en fêtes. Celles-ci sont bien évidemment exploitées par les diffuseurs de courrier indésirable. La Saint-Valentin, le carnaval, le 23 février, le 8 mars, la Saint Patrick et enfin Pâques, les diffuseurs de courrier indésirable n’en n’ont raté aucune.

Ce courrier indésirable inspiré des fêtes était composé dans la majorité des cas de publicités traditionnelles pour des médicaments, des copies d’articles de luxe, etc. présentées dans un style festif (avec l’ajout d’arguments impliquant que ces articles étaient nécessaires à la fête en question) ou il s’agissait de messages non sollicités envoyés dans le cadre de partenariats activés pour ces fêtes, par exemple des partenariats pour la vente de fleurs.

Politique dans l’Internet russophone

Comme nous l’avions prévu, les diffusions de messages à caractère politique se sont poursuivies au premier trimestre 2012. Dans la majorité des cas, ce courrier indésirable était à la limite de l’extrémisme, comme au trimestre dernier. Il y a même eu des messages non sollicités envoyés par le parti communiste (ou un faux envoyé au nom de celui-ci. Il est impossible d’être catégorique dans ces situations).

Mais nous avons détecté également d’autres versions. Ainsi, un des messages non sollicités invitait le destinataire à prendre connaissance des mesures pour l’organisation d’un meeting. Un fichier doc était joint au message et l’ouverture de ce document nécessitait l’activation de macros. Et si l’utilisateur exécutait les macros, il entraînait l’installation sur l’ordinateur d’un cheval de Troie prévu pour mettre le système d’exploitation Windows hors service.

Les individus malintentionnés ont-ils utilisé le thème du meeting en raison de sa popularité ou s’agissait-il d’une attaque ciblée contre les partisans de l’opposition ? Rien ne permet de répondre à cette question. Toutefois, la caractéristique de ce programme malveillant était qu’il ne possédait aucune des fonctions que l’on rencontre habituellement dans les programmes malveillants commerciaux : il ne volait pas de mots de passe, il ne téléchargeait pas de bots, etc. Sa seule fonction était de mettre l’ordinateur infecté hors service.

Méthodes et astuces des diffuseurs de courrier indésirable

Diffusions malveillantes

Nous ne pouvons pas ignorer que les diffuseurs de programmes malveillants sont les les diffuseurs de courrier indésirable à l’imagination la plus fertile en matière d’ingénierie sociale. Outre le message décrit contenant les instructions destinées aux personnes souhaitant participer à un meeting, nous avons également détecté d’autres faux messages.

Après la diffusion d’une fausse notification de l’association américaine des paiements électroniques (NACHA), les diffuseurs de courrier indésirable ont commencé à fausser des messages au nom du Better Business Bureau (BBB). BBB est une société privée qui propose aux utilisateurs et aux entrepreneurs aux Etats-Unis et au Canada des informations sur les entreprises et leur évaluation (dont des commentaires, des réclamations, des classements, des statistiques, etc.) pour contribuer à la prise de décision pour les achats et les investissements.

La principale cible de ces diffusions était des petites et moyennes entreprises. Le message faisait état d’une prétendue plainte reçue par le BBB et il utilisait la méthode classique qui consiste à effrayer le destinataire : si l’utilisateur ne réagissait pas à la plainte, il risquait un recul de son classement chez BBB. En réalité, si le destinataire cliquait sur le lien, il arrivait sur un site quelconque compromis contenant un script qui le redirigeait vers un site malveillant hébergeant le célèbre ensemble de codes d’exploitation Blackhole.

Une méthode similaire a été appliquée dans une autre diffusion présentée sous les traits d’un message d’une compagnie aérienne. L’utilisateur était invité à s’enregistrer en ligne sur un vol d’US Airways.

En cliquant sur le lien, le destinataire se retrouvait sur un site contenant un script qui le redirigeait vers un site malveillant hébergeant Blackhole. Si les codes d’exploitation parvenaient à trouver des applications vulnérables sur l’ordinateur de la victime, une des modifications du cheval de Troie ZeuS/Zbot était installée sur l’ordinateur.

En outre, des diffusions malveillantes ont été présentées sous la forme d’informations à caractère financier, d’offres d’emploi, de notifications de virement bancaire, de notifications de réseaux sociaux, etc.

Escroquerie

Les escrocs ont également fait preuve de fantaisie au cours de ce trimestre. Les messages à la nigérienne ont une fois de plus promis des millions aux destinataires. Cette fois-ci, il s’agissait de l’argent de Khadafi. D’autres se sont fait passer pour le directeur du FBI et ont tenté d’obtenir les données personnelles des utilisateurs.

Nous avons été particulièrement intéressés par une diffusion prétendument au nom du groupe de pirates Anonymous. Dans ce message, présenté de manière caractéristique avec certaines expressions qui sont devenues la carte de visite du groupe, ces faux membres du groupe anonymous invitaient les destinataires à soutenir leurs actions contre les gouvernements de plusieurs pays. Pour ce faire, le destinataire devait simplement envoyer un message reprenant son nom, son pays de résidence et son numéro de téléphone portable à l’adresse de messagerie indiquée.

Dans ce cas, les individus malintentionnés misent sur la popularité du groupe de pirates. La demande d’envoi du nom et du numéro de téléphone peut sembler anodine à l’utilisateur, mais les individus malintentionnés peuvent utiliser ces données à des fins qui peuvent réserver une mauvaise surprise, par exemple inscrire le propriétaire du téléphone à un service payant.

Signalons que le champ « De » de ce message contenait le domaine de l’organisation Nacha. Il est fort peu probable que les escrocs aient vraiment voulu associer leur diffusion aux activités de cette organisation. La version plus probable est que les personnes qui ont diffusé ces messages étaient les mêmes que celles qui avaient diffusé les messages présentés comme des messages de Nacha et qui ont oublié de remplacer le faux champ « De »dans le modèle transmis par les bots.

Statistiques du courrier indésirable

La part de courrier indésirable au premier trimestre 2012 a atteint en moyenne 76,6 % du trafic de messagerie. Ce chiffre est en recul de 3 % par rapport aux résultats du quatrième trimestre 2011.

Part du courrier indésirable dans le trafic de messagerie au premier trimestre 2012

La réduction du pourcentage de courrier indésirable dans le courrier s’explique en partie par le fait que Kaspersky Lab, en collaboration avec des groupes d’analystes de CrowdStrike Intelligence Team, Honey Project et Dell SecureWorks, a neutralisé la deuxième version du réseau de zombies Hlux/Kelihos. D’après nos données, le réseau de zombies contenait plus de 100 000 ordinateurs infectés. Hlux a été détecté pour la première fois en décembre 2010, justement après le démantèlement de centres de commande de réseaux de zombies importants comme Pushdo/Cutwail et Bredolab. Le démantèlement de sa première modification remonte à septembre 2011, mais les individus malintentionnés avaient très vite créé une autre version du bot et à la fin de septembre 2011, une nouvelle version du réseau de zombies, avec des fonctionnalités étendues, faisait son apparition. C’est ce réseau qui a été désactivé en mars 2012.

Géographie du courrier indésirable

Répartition des sources de courrier indésirable par région

S’agissant des sources géographiques du courrier indésirable, nous observons le maintien des tendances de 2011 : la part de courrier indésirable en provenance des pays asiatiques (+3,83 %) et d’Amérique latine (+2,66 %) augmente doucement, mais sûrement. De plus, la part du courrier indésirable en provenance d’Afrique (+0,67 %) et du Proche-Orient (+1,09 %) augmente. Bien que le volume de courrier indésirable en provenance de ces deux régions ne soit pas encore très important, la dynamique de croissance quant à elle est notable. Par rapport au dernier trimestre, le volume de courrier indésirable envoyé depuis l’Afrique et le Moyen-Orient a augmenté de 20 et de 29,6 % respectivement.

Répartition des sources de courrier indésirable par région au T4 2011 et T1 2012

La part de l’Europe occidentale et de l’Europe de l’Est poursuit son recul. Au premier trimestre 2012, la part globale de ces deux régions représentait 23,43 % du volume global du courrier indésirable (-8,35 %). Après la mise hors service du réseau de zombies Hlux, on peut s’attendre à d’autres modifications dans la répartition géographique des sources de courrier indésirable.

Pays, source du courrier indésirable

Parmi les pays qui mènent le classement de la diffusion de courrier indésirable, on retrouve toujours l’Inde, suivie par l’Indonésie et le Brésil. Il faut reconnaître que le Top 20 des leaders n’a pratiquement pas changé par rapport au trimestre antérieur. Les variations n’ont pas dépassé 1 % pour chacun des pays.

Pays, sources de courrier indésirable au premier trimestre 2011

Un élément intéressant à constater : alors qu’au sein d’une région, l’intensité des diffusions depuis divers pays change de manière presque synchronisée, il n’en est rien pour l’Asie où chaque pays semble avoir sa propre dynamique. Ainsi, la Corée du Sud et le Viet Nam qui figurent dans le Top 5 des pays sources de courrier indésirable affichent des tendances presque opposées.

Dynamique de la répartition du courrier indésirable en provenance de la Corée du Sud et du Viet Nam, premier trimestre 2012

Cela signifie que les ordinateurs infectés dans ces pays appartiennent à différents réseaux de zombies. Et cela n’a rien d’étonnant. L’Asie est pour l’instant une région très intéressante pour les propriétaires de réseaux de zombies et différents réseaux de zombies indépendants peuvent contenir des ordinateurs de cette région.

Messages avec pièces jointes malveillantes

Part de messages avec des pièces jointes malveillantes

Au premier trimestre 2012, la part de messages contenant des pièces jointes malveillantes a augmenté de 0,1 % par rapport au trimestre précédent pour atteindre 3,3 %. Le diagramme ci-après illustre la répartition de cet indice pour chaque mois.

Part de pièces jointes malveillantes dans le courrier; premier trimestre 2012.

Comme le montre le diagramme, la part maximum de pièces jointes malveillantes dans le courrier électronique a été observée au mois de janvier. Ce mois-là, plus de 4 % de l’ensemble des messages contenaient des pièces jointes malveillantes. En février et en mars, cet indicateur était de 2,8 %.

Le pourcentage assez élevé de courrier indésirable malveillant en janvier s’explique principalement par les longues vacances de Nouvel An en Russie et par le niveau réduit d’activité professionnelle au cours des autres semaines du premier mois de l’année. Il semblerait que face au déficit de commandes, de nombreux propriétaires de réseaux de zombies ont décidé de diffuser des messages non sollicités dans le cadre de partenariats, avec une prédilection pour les partenariats de diffusion de publicités pour des médicaments ou de code malveillant.

Il est probable que le recul de la part de code indésirable dans le courrier observé en février et en mars n’est qu’un phénomène temporaire et que l’on peut s’attendre à une augmentation de la part de diffusions malveillantes au deuxième trimestre. Il ne fait pas de tort de rappeler que la diffusion de programmes malveillants dans le courrier indésirable s’opère non seulement via des pièces jointes, mais également via des liens malveillants. Ainsi, la réduction de la part de pièces jointes malveillantes observées dans le courrier ne signifie pas toujours la réduction des la part de diffusions malveillantes en tant que telles.

Pays, cibles des diffusions de programmes malveillants

Au premier trimestre 2012, la répartition des déclenchements de notre Antivirus Courrier par pays ressemblait à ceci :

Répartition des déclenchements de l’Antivirus Courrier par pays au premier trimestre 2012.

La part de déclenchements de l’antivirus courrier sur le territoire du leader de l’année dernière, à savoir la Russie, n’a atteint que 2 %, ce qui n’a pas permis à ce pays d’entrer dans le Top 10. La première place du classement revient aux Etats-Unis, bien que la part de déclenchements de l’Antivirus Courrier par rapport au trimestre précédent n’a augmenté que très légèrement (seulement de 0,5 %). La part des déclenchements à Hong Kong a pratiquement doublé, ce qui permet à ce territoire d’occuper la deuxième place du Top 10.

Dans notre rapport pour 2011, nous avions indiqué que tout au long de l’année, nous avions observé une dynamique inverse au niveau de la diffusion de code malveillant aux Etats-Unis et en Inde : quand le volume de courrier indésirable malveillant était plus important aux Etats-Unis, il était sensiblement plus faible en Inde et inversement. Au premier trimestre 2012, nous n’avons pas observé cette relation.

Dans le rapport consacré au troisième trimestre 2011, nous évoquions le fait que les similitudes entre le paysage Internet aux Etats-Unis et en Australie faisaient que les modifications au niveau du pourcentage de déclenchements de l’Antivirus Courrier aux Etats-Unis et en Australie étaient synchronisées. Cette tendance s’est maintenue au premier trimestre 2012.

Dynamique du déclenchement de l’Antivirus Courrier aux Etats-Unis et en Australie décembre 2011 – mars 2012.

Une analyse plus poussée a mis en évidence une correspondance entre les pics locaux de déclenchements de l’Antivirus dans ces pays pratiquement tout au long du mois de mars.

Dynamique du déclenchement de l’Antivirus Courrier aux Etats-Unis et en Australie par jour en mars 2012.

Classement des programmes malveillants dans le courrier

A l’issue du premier trimestre 2012, le leader des programmes malveillants les plus souvent détectés par notre logiciel antivirus dans le courrier est Trojan-Spy.HTML.Fraud.gen. Il représente plus de 14 % de toutes les détections. Trojan-Spy.HTML.Fraud.gen est un programme malveillant qui se présente sous la forme d’une page HTML qui imite la page d’ouverture de session sur le site d’une entité financière ou d’un service en ligne quelconque. Les données d’authentification saisies sur cette page sont envoyées aux individus malintentionnés.

Top 10 des programmes malveillants dans le courrier au premier trimestre 2012

En deuxième place, nous retrouvons à nouveau Email-Worm.Win32.Mydoom.m. Ce ver de messagerie, comme son congénère Mydoom.l (8e position), remplit seulement deux fonctions : la collecte d’adresses de messagerie sur les ordinateurs infectés et la diffusion de ses copies vers celles-ci. C’est une fonction que l’on retrouve également dans les programmes malveillants de la famille Email-Worm.Win32.NetSky en 6e, 7e et 9e position. On retrouve un autre ver de messagerie, Email-Worm.Win32.Bagle.gt en 4e position. Outre la fonctionnalité déjà citée pour les vers de messagerie traditionnels, ce programme malveillant contacte également des ressources sur Internet pour télécharger d’autres programmes malveillants.

Il faut signaler que la diffusion des vers de messagerie n’est absolument pas contrôlée car le mécanisme qu’ils contiennent ne prévoit pas l’exécution d’instructions quelconque par le « maître ». Les familles qui figurent dans le classement sont propagées par courrier électronique depuis quelques années déjà et il est plus que probable que ces programmes ne sont plus utiles à leurs créateurs. Outre le programme malveillant de phishing Trojan-Spy.HTML.Fraud.gen, les cybercriminels diffusent de nouvelles versions de divers chevaux de Troie de téléchargement ou de chevaux de Troie de type dropper.
Souvent, les diffusions sont tellement rapides que les entrées correspondantes n’ont pas le temps d’être ajoutées aux bases antivirus. Dans ce cas, l’Antivirus Courrier bloque les pièces jointes malveillantes à l’aide de méthodes proactives. Au premier trimestre 2012, 11 % de tous les programmes détectés par l’Antivirus Courrier l’ont été à l’aide de méthodes proactives.

De plus, il ne faut pas oublier que les individus malintentionnés diffusent du code malveillant par courrier non seulement dans des pièces jointes mais également via des liens.

Phishing

La part du phishing au premier trimestre 2012 a quelque peu augmenté et représentait en moyenne 0,02% de l’ensemble du trafic de messagerie.

Pourcentage de messages de phishing dans le courrier au premier trimestre 2012

Depuis le début de l’année 2012, Kaspersky Lab publie dans ses rapports un nouveau classement des organisations victimes d’attaques de phishing. Nous avons organisé le Top 100 des organisations dont les clients ont été victimes d’attaques de phishing par catégories. Vous trouverez ici de plus amples informations sur chaque catégorie.

Répartition du TOP 100 des organisations victimes d’attaque de phishing, par catégorie
Déclenchements du composant Anti-Phishing au premier trimestre 2012

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de l’Anti-Phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Tout au long du premier trimestre, la répartition des attaques de phishing contre les différentes organisations des différentes catégories est restée stable. Parmi les modifications notoires, on peut citer l’augmentation de la part d’attaques contre le magasin en ligne Amazon observée en janvier. A l’issue du premier mois, la catégorie « Magasins en ligne et sites de ventes aux enchères » occupait la deuxième place du classement. Toutefois, dès le mois de février, la catégorie « Réseaux sociaux » a décroché la deuxième position en raison du pourcentage élevé d’attaques contre Facebook. Ce réseau social a occupé la tête de liste deux mois consécutifs.

Selon les données de KSN, près de 70 % des accès des liens de phishing sont consultés au départ de clients de messagerie. Autrement dit, le courrier demeure le principal canal de diffusion des liens de phishing.

Conclusion

Le volume de courrier indésirable recule, ce qui est une bonne nouvelle. Ceci est en grande partie le résultat de la lutte active menée contre les réseaux de zombies par différentes organisations indépendantes. Toutefois, comme le montre la pratique, une lutte efficace contre les menaces ne peut se limiter à la désactivation des réseaux de zombies. Il faut mettre en place une coopération avec les autorités judiciaires, les enquêteurs et les tribunaux. Heureusement, des efforts allant dans ce sens sont fournis. Ainsi, quelques organisations financières aux Etats-Unis se sont associées à Microsoft afin de porter plainte contre les propriétaires du réseau de zombies ZeuS pour violation de diverses lois, depuis CAN-SPAM (loi américaine contre le courrier indésirable) jusqu’au RICO Act, loi fédérale sur la corruption et les organisations soumises au racket.

La géographie du courrier indésirable n’a pas changé par rapport au trimestre précédent. Toutefois, il ne faut pas compter sur le maintien de la stabilité : en général, la désactivation d’un réseau de zombies modifie profondément la géographie des sources de courrier indésirable car les cybercriminels tentent d’organiser des réseaux de zombies dans des endroits moins risqués (ou plus prometteurs).

Le pourcentage de pièces jointes malveillantes dans le courrier indésirable a diminué, même s’il reste toujours élevé. De plus, un pourcentage assez important de messages non sollicités ne contiennent pas de pièce jointe, mais bien des liens vers des sites abritant des codes d’exploitation utilisés dans le cadre d’attaques par téléchargement à la dérobée. Ces diffusions se caractérisent par le fait que les liens dans ces messages conduisent la victime, après plusieurs redirections, vers un site contenant les paquets de code d’exploitation qui doivent détecter sur l’ordinateur de la victime une vulnérabilité quelconque dans une application populaire telle que Java, Flash Player ou Adobe Reader. De plus, les organisateurs de telles diffusions font preuve d’une imagination très riche et ils exploitent diverses astuces d’ingénierie sociale.

Pour l’instant, il peut être dangereux de cliquer sur un lien dans un message non sollicité et d’ouvrir une pièce jointe (même s’il ne s’agit que d’un document texte). De plus, certains programmes malveillants modernes sont conçus de telle sorte qu’il est même dangereux d’ouvrir le message non sollicité en lui-même. Nous rappelons une fois de plus aux utilisateurs qu’il faut mettre à jour les applications et supprimer les messages non sollicités sans les ouvrir.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *