Courrier indésirable au premier trimestre 2014

Fausses notifications d’applications mobiles

La diffusion généralisée des appareils mobiles engendre l’apparition de messages non sollicités visant les utilisateurs de smartphones et de tablettes. Nous avons déjà évoqué les emails contenant des programmes malveillants pour Android. Le volume de ces programmes reste modeste pour l’instant, mais ils sont diffusés selon une régularité bien établie. Nous avons observé une autre tendance au cours de ce trimestre : les fausses notifications envoyées par les diffuseurs de courrier indésirable (ou spam) qui imitent désormais les messages envoyés par les applications mobiles. L’application mobile multiplateforme WhatsApp est celle qui est le plus souvent mentionnée dans ces messages : les diffuseurs de messages non sollicités ont utilisé des fausses notifications de WhatsApp pour envoyer des programmes malveillants ainsi que des publicités traditionnelles.

Nous avons détecté en janvier la diffusion d’un message qui indiquait qu’une personne avait envoyé une carte postale au destinataire via WhatsApp. L’utilisateur attentif aurait pu se demander pourquoi ce message arrivait via le courrier car le compte WhatsApp n’est pas directement associé à une boîte aux lettres. Vu le nombre d’utilisateurs habitués à la synchronisation des contacts et la fréquence de réception de messages d’applications mobiles par email, il arrive que certaines personnes ne se méfient pas de ce genre de message.



En réalité, la pièce jointe du message contenait le programme malveillant détecté sous le nom de Backdoor.Win32.Androm.bjkd par Kaspersky Lab. Il s’agit d’une porte dérobée bien connue dont la principale fonction consiste à télécharger d’autres programmes malveillants sur l’ordinateur de l’utilisateur.

En mars, nous avons détecté une autre diffusion qui exploitait également la popularité de ce client de messagerie instantanée. Le message envoyé au destinataire indiquait la présence d’une note vocale dans WhatsApp et pour l’écouter, il suffisait de cliquer sur le lien repris dans le message.



Une fois que le destinataire avait cliqué sur « Autoplay », il arrivait sur un site légitime compromis par un javascript qui ressemblait à ceci :



La traduction des symboles du système hexadécimal en lettres donne ceci :

Autrement dit, le site compromis redirigeait le destinataire vers un autre site qui faisait la publicité de « Viagra ».

Il est intéressant de constater que cette méthode a été utilisée non seulement avec WhatsApp, mais également avec de fausses notifications d’autres clients de messagerie très répandus comme Viber et Google Hangouts.





Dans ce contexte d’augmentation de l’intérêt pour les appareils mobiles, on observe des attaques de phishing dont l’objectif est le vol d’Apple ID.





Apple occupait la 17e position du classement trimestriel des organisations visées par les auteurs d’attaques de phishing.

Sujets d’actualité dans le courrier indésirable : Jeux olympiques

Les Jeux Olympiques d’hiver se sont tenus en Russie au mois de février. Les diffuseurs de messages non sollicités ne pouvaient pas ignorer un tel événement. Et ils ont bel et bien exploité ce sujet dans les campagnes les plus diverses, même si cette activité n’a pas été, en fin de compte, aussi grande que ce qu’on aurait pu croire. Les entrepreneurs chinois ont proposé divers produits inspirés de la symbolique des Jeux Olympiques tandis que les auteurs d’escroquerie à la nigériane ont exploité le sujet pour extorquer de l’argent aux destinataires. Nous avons également identifié quelques diffusions importantes de messages faisant la promotion de « montres de contrefaçon pour le voyage aux Jeux Olympiques » ou de service de location d’hélicoptères à Sotchi.

Nous tenons à signaler que ce n’est pas la première fois que nous observons une activité modeste des diffuseurs de courrier indésirable par rapport à l’importance d’un événement. Lors des Jeux Olympiques d’été de Londres, nous avions vu principalement des messages d’escroquerie à propos de gains « olympiques » dans des loteries tandis que les Jeux olympiques d’hiver de 2010 à Vancouver n’avaient pas du tout suscité l’intérêt des cybercriminels. Par contre, lors des coupes du monde de football, le nombre de messages non sollicités inspirés par l’événement est toujours plus important.

Outre les Jeux Olympiques de Sotchi, les diffuseurs de messages non sollicités (principalement, des auteurs d’escroquerie à la nigériane) ont également exploité des sujets d’actualité comme la mort d’Ariel Sharon, l’ex-Premier ministre d’Israël. Les escrocs continuent d’envoyer des messages d’escroquerie à la nigériane au nom de proches de Nelson Mandela, l’ex-Président d’Afrique du Sud décédé en décembre.

Méthodes utilisées par les diffuseurs de courrier indésirable : brouillage du code HTML

Pour rendre chaque message au sein d’une diffusion massive unique, les diffuseurs choisissent souvent de « brouiller » le texte en ajoutant des caractères aléatoires, des mots ou des extraits de texte. Bien entendu, cela signifie que le message devient moins agréable à lire et suscite moins d’intérêt chez les utilisateurs. C’est la raison pour laquelle les diffuseurs de courrier indésirable tentent de masquer ce texte aléatoire. Les anciennes astuces telles que placer le texte en blanc sur un fond blanc ou simplement séparer ce texte poubelle du message principal par un grand nombre de retours à la ligne sont toujours largement utilisées par les diffuseurs de courrier indésirable, même si ces astuces sont presqu’aussi vieilles que le courrier indésirable lui-même.

D’autres diffuseurs de messages non sollicités adoptent quant à eux des méthodes plus complexes. L’une d’entre elles consiste à brouiller le message à l’aide de balises HTML. Cette méthode se caractérise par le fait que l’utilisateur ne voit que le contenu principal, tandis que le filtre antispam considère chaque message comme un message unique.

Voici ce que voit l’utilisateur lorsqu’il ouvre le message :



Le code source du corps du message ressemble quant à lui à ceci :



Tout le texte HTML, à l’exception des liens et des images mis en évidence en rouge, n’a aucun sens. On y voit principalement la balise span associée à divers attributs. Il s’agit d’une balise conteneur, utilisée généralement pour définir la mise en page et/ou l’identificateur unique d’un fragment déterminé de texte. Dans ce cas-ci, les balises d’ouverture et de fermeture n’encadrent aucun texte réel. Elles sont là simplement pour brouiller le message.

Le lien en lui-même, qui est également brouillé, mérite une attention particulière. Comme on peut le voir, la séquence « =EF=BB=BF » est insérée à des endroits aléatoires entre les lettres. Cette séquence dans le système hexadécimal représente un symbole UTF-8 utilisé pour indiquer l’ordre des octets d’un fichier texte. Mais uniquement lorsqu’il est utilisé dans son sens premier et s’il se trouve au début du texte. D’après les spécifications d’Unicode, ce symbole au milieu d’un flux de données doit être interprété comme « un espace insécable sans chasse » (en réalité, un symbole nul). Autrement dit, le client de messagerie ignore cette séquence et ouvre le lien ou charge une image sans aucune difficulté. Et pour les filtres antispam chaque lien sera unique. Qui plus est, la dernière partie du lien (mise en évidence en orange) est également aléatoire.

Bref, le code source du message ressemblerait à ceci s’il n’était pas brouillé.

Comme on le voit, la part de brouillage est sensiblement supérieure au contenu du message. Tout ce texte de brouillage est produit de manière aléatoire et est unique pour chaque message de la diffusion. Le destinataire qui ouvre le message ne voit qu’un message bien mis en page sans aucune trace des astuces employées par les diffuseurs de messages non sollicités.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

Au premier trimestre 2014, la part de messages non sollicités a représenté près de 66,34 % du volume du trafic de messagerie. Elle enregistre un recul de 6,43 % par rapport au trimestre précédent. Toutefois, par rapport aux chiffres du premier trimestre 2013, la part de messages non sollicités au premier trimestre a diminué de 0,16 % seulement.


Par du courrier indésirable dans le trafic de messagerie au premier trimestre 2014

Il faut signaler également qu’au cours du trimestre, la part de courrier indésirable a fortement varié et a atteint un plancher de 61 % lors de la dernière semaine du trimestre.

Pays, source du courrier indésirable

La répartition géographique des sources de courrier indésirable n’a pratiquement pas changé.


Répartition des sources de courrier indésirable au premier trimestre 2014

La Chine (-0,34 %), les Etats-Unis (+1,23 %) et la Corée (-0,91 %) occupent dans cet ordre le trio de tête du Top 20. En terme de volume de messages non sollicités envoyés, la Russie a dépassé Taïwan et atteint la 4e position. Il s’agit d’une progression d’une place par rapport au trimestre précédent (+0,34 %).

La première moitié du Top 20 n’a pratiquement pas changé.

La deuxième moitié a quant à elle enregistré des modifications plus remarquables. Les Philippines passent de la 20e à la 11e position (+0,67 %) tandis que le Kazakhstan chute de la 11e à la 17e position (-0,76 %). Le Canada, qui occupait la 10e position au trimestre dernier, se retrouve en 27e place avec un indice qui est passé de 1,73 à 0,49 %.

Régions d’origine du courrier indésirable


Répartition des sources de courrier indésirable par région au premier trimestre 2014

La répartition des sources de courrier indésirable par région n’a pratiquement pas changé elle non plus. La part de l’Asie a légèrement reculé (de 3,2 %), ce qui ne l’empêche pas de mener une fois de plus le classement avec une bonne longueur d’avance. La part de l’Amérique du Nord n’a pratiquement pas changé (-0,01 %). Les résultats des autres régions ont légèrement augmenté.

Taille des messages non sollicités

Une fois de plus, ce sont les messages hyper-courts de moins d’1 Ko qui mènent largement.


Tailles des messages non sollicités au premier trimestre 2014

Nous avons observé en janvier une augmentation du nombre de messages dont la taille est comprise entre 10 et 20 Ko. Ceci s’explique peut-être par le courrier indésirable associé aux célébrations et dont la jolie mise en page intègre des images. Pièces jointes malveillantes dans le courrier

Pièces jointes malveillantes dans le courrier



ТОP 10 des programmes malveillants diffusés par email au premier trimestre 2014

Trojan-Spy.HTML.Fraud.gen demeure la pièce jointe malveillante la plus souvent envoyée par email. Ce programme accompagne souvent les messages de phishing. Il s’agit d’une page HTML qui imite le formulaire d’ouverture de session d’un service de transactions bancaires. Les auteurs d’attaques de phishing l’utilisent pour voler les informations d’identification des utilisateurs.

Des vers de réseau Net-Worm.Win32.Aspxor occupent la 2e et la 7e position. Ces programmes malveillants sont capables de rechercher automatiquement des sites vulnérables qui feront ensuite l’objet d’une infection massive dans le but de propager davantage le bot. Leurs fonctions incluent le téléchargement et le lancement d’un autre programme malveillant, la collecte d’informations de valeur (mots de passe enregistrés ou informations d’identification de comptes de messagerie ou de comptes FTP par exemple) sans oublier la diffusion de messages non sollicités.

Le ver Email-Worm.Win32.Bagle.gt, vieille connaissance de notre classement, occupe la 3e position. La fonction principale de tous les vers de messagerie est de récolter des adresses sur les ordinateurs infectés. Le ver de messagerie de la famille Bagle peut également recevoir des commandes à distance pour installer d’autres programmes malveillants.

Des chevaux de Troie de la famille Fareit occupent les 4e et 8e positions. C’est surtout au mois de janvier qu’ils ont été les plus diffusés. Ces programmes malveillants sont capables de voler des mots de passe, de réaliser des attaques par DDoS mais également de télécharger et lancer une application quelconque. Deux représentants de cette famille qui figurent dans notre classement téléchargent et exécutent également des chevaux de Troie de la famille Zbot. De plus, les programmes malveillants de la famille Fareit volent le contenu des porte-monnaie Bitcoin et autres crypto-devises (près de 30).

Trojan.Win32.Bublik.bwbx occupe la 5e position. Ce programme malveillant peut télécharger sur l’ordinateur d’autres programmes malveillants, notamment de la famille Zbot.

Backdoor.Win32.Androm.bngy est en 6e position. La famille Androm regroupe des backdoors qui permettent aux individus malintentionnés d’administrer les ordinateurs infectés à l’insu de leurs propriétaires. Les ordinateurs qui sont infectés par de tels programmes sont souvent recrutés dans des réseaux de zombies.

La 9e position est occupée par un vétéran des vers de messagerie : Email-Worm.Win32.Mydoom.l.

Un représentant connu de la famille Zbot referme le Top 10. Cette famille de programmes malveillants est spécialisée dans le vol d’informations confidentielles. Ce programme malveillant peut également installer Cryptolocker sur l’ordinateur infecté afin de chiffrer les données de l’ordinateur et de réclamer à la victime le versement d’une somme d’argent pour les déchiffrer.


Répartition des déclenchements de l’antivirus protégeant les emails, premier trimestre 2014

S’agissant du classement des pays dans lesquels les messages avec pièces jointes malveillantes ont été diffusés, on observe, par rapport au trimestre précédent, une augmentation de la part des déclenchement de l’antivirus protégeant les emails aux Etats-Unis (+3,68 %) tandis que les parts de la Grande-Bretagne (-2,27 %), de l’Allemagne (-1,34 %) et de Hong Kong (-2,73 %) sont en recul. Par conséquent, les Etats-Unis, qui se trouvaient en 3e position le trimestre dernier, occupent à nouveau la tête du classement des pays attaqués. La part des programmes malveillants envoyés dans les autres pays n’a pratiquement pas changé.

Phishing

Ce trimestre, nous avons introduit une nouvelle catégorie intitulée « Portails de recherche et de messagerie » qui est le résultat de la fusion des deux anciennes catégories « Courrier électronique et clients de messagerie instantanée » et « Moteurs de recherche ». Le fait est que bien souvent, ces portails reposent sur l’utilisation d’un compte unique auquel sont associés les paramètres, l’historique des recherches et le compte de messagerie électronique, en plus de l’accès aux services dans le Cloud et autres.


Répartition du TOP 100 des organisations victimes d’attaques de phishing*, par catégorie,
premier trimestre 2014

* Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Comme il fallait s’y attendre, la catégorie « Portails de recherche et de messagerie » s’est emparée de la première position du classement. Bien que les comptes de ces portails donnent accès à un grand nombre de services, les attaques de phishing visent dans la majorité des cas à obtenir les données d’accès à la boîte aux lettres de l’utilisateur. Les individus malintentionnés peuvent alors non seulement utiliser cette boîte dans leur propre intérêt, mais également éplucher le contenu à la recherche d’informations d’identification d’autres services. En effet, l’email est une méthode souvent employée par différents sites dans les procédures de récupération d’un mot de passe oublié. Et tandis que certains sites envoient dans ce cas uniquement un lien pour la création du mot de passe, d’autres communiquent le mot de passe directement dans le message. Il existe également des sites qui envoient un email contenant le nom d’utilisateur et le mot de passe directement après l’enregistrement. Pour éviter les pertes d’informations confidentielles, les systèmes de messagerie modernes offrent une authentification à deux facteurs : en plus du nom d’utilisateur et du mot de passe, l’utilisateur doit saisir un code spécial qu’il reçoit via SMS. Une autre mesure de protection consiste simplement à effacer tous les messages qui contiennent des informations confidentielles.

Les comptes sur les réseaux sociaux, en 2e position, figurent toujours parmi les favoris des auteurs d’attaques de phishing, même si cette catégorie enregistre une baisse de 1,44 % par rapport au trimestre précédent.

Ce sont les magasins en ligne qui enregistrent la hausse la plus marquée (+2,47 %). Ceci s’explique avant tout par le nombre d’attaques contre les services de coupons ainsi que par l’intérêt marqué en mars par les auteurs d’attaques de phishing pour les agences qui vendent des billets pour divers événements.

La part des attaques contre les éditeurs de logiciels (-2,46 %) a quelque peu diminué. Pour le reste, la répartition des catégories est pratiquement inchangée.

Conclusion

De nos jours, presque tout le monde utilise un smartphone et la grande majorité des sites Internet les plus visités existe également en version mobile. Il existe également des applications mobiles spéciales qui jouissent d’une très grande popularité. Les individus malintentionnés exploitent cette popularité en envoyant des messages non sollicités qui imitent le style des notifications de ces applications. Ce genre de message ne va faire qu’augmenter. Il faut également s’attendre à une augmentation du nombre d’attaques de phishing dont l’objectif sera de voler les mots de passe des comptes des applications mobiles.

Des programmes malveillants pour Android sont déjà diffusés par email, mais leur volume reste assez modeste. Il faut aussi compter sur une augmentation dans le courrier du nombre de programmes malveillants créés pour les plates-formes mobiles.

La majorité des programmes malveillants diffusés par email vise à voler les informations confidentielles des victimes. Toutefois, au cours de ce trimestre, des programmes malveillants capables de diffuser du spam et d’organiser des attaques DDoS ont également été largement diffusés. Il faut signaler que la majorité des programmes malveillants les plus diffusés est capable de remplir plusieurs fonctions : ils peuvent voler des données sur l’ordinateur de la victime, intégrer l’ordinateur à un réseau de zombies ainsi que télécharger et exécuter d’autres programmes malveillants.

Les diffuseurs de spam continuent d’utiliser les astuces les plus diverses pour tromper les filtres. Une des plus sophistiquées consiste à brouiller les messages à l’aide de balises HTML. L’obfuscation des liens dans le message est également répandue. La dernière astuce de ce genre consiste à ajouter un caractère UTF-8 dans le lien. Ce caractère a la particularité d’être interprété comme un symbole nul s’il ne se trouve pas au début du texte. En fait, le codage UTF-8 permet aux individus malintentionnés d’utiliser régulièrement de telles astuces.

La majorité des attaques de phishing a ciblé les comptes de messagerie électronique. Bien souvent, les utilisateurs ne se soucient pas de la protection de leur courrier et adoptent des noms d’utilisateur et des mots de passe simples. Ceci étant dit, il ne faut pas oublier que les individus malintentionnés qui obtiennent un accès à une boîte aux lettres peuvent consulter toutes les informations qui s’y trouvent, notamment les noms d’utilisateur et les mots de passe d’autres services. Nous recommandons dès lors l’utilisation de mots de passe complexes pour les boîtes aux lettres et le recours, dans la mesure du possible, à l’authentification à deux facteurs.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *