Courrier indésirable en août 2014

Particularités du mois

Les messages d’escroquerie diffusés au mois d’août ont exploité les événements politiques internationaux et les noms de personnalités russes. Des fichiers malveillants ont été diffusés par courrier, notamment via de fausses notifications des tribunaux. Les diffuseurs de messages non sollicités qui gagnent de l’argent en propageant des publicités pour des médicaments ont utilisé des services populaires afin d’attirer l’attention des destinataires. Les diffuseurs de courrier indésirable (spam) ont également fait la promotion de services d’agences de voyages et d’agences de recouvrement de créances.

Assignations à comparaître malveillantes

Nous avons observé au mois d’août plusieurs campagnes simultanées qui imitaient des assignations à comparaître, en plusieurs langues. Un message en anglais précisait que le destinataire était assigné à comparaître au tribunal en tant que défendant et qu’il devait absolument prendre connaissance des informations en pièce jointe avant l’audience. La pièce jointe contenait en faitš le cheval de Troie Backdoor.Win32.Kuluoz capable de télécharger et d’exécuter d’autres programmes malveillants. La comparaison de plusieurs messages d’une campagne nous a permis de voir que certains fragments du texte, par exemple la date et l’heure de l’audience, la ville et le nom des archives contenant les fichiers malveillants changeaient à chaque message. Les adresses des expéditeurs de ces messages étaient créées selon un modèle unique dans lequel les escrocs ajoutaient simplement des mots tirés d’une base de données préparée à l’avance. En général, le texte est modifié pour donner une touche individuelle au message et pour déjouer les filtres anti-spam.

Ce genre de spam malveillant a été diffusé au mois d’août non seulement en russe et en anglais, mais également en tchèque. Les escrocs tentaient de faire croire aux destinataires qu’ils avaient une dette et que celle-ci devait être payée dans les 15 jours afin d’éviter la confiscation du patrimoine et le gel du compte en banque. Les individus malintentionnés dissimulaient le programme malveillant Trojan-Downloader.Win32.Agent.heva sous la forme de documents financiers et légaux. Quand ce Trojan est exécuté, il affiche le contenu d’un fichier RTF que l’utilisateur lit. Pendant ce temps, le programme malveillant télécharge et installe Trojan.Win32.Tinba.ei, un autre Trojan développé pour voler des informations financières, notamment les données des comptes en banque et des cartes de crédit. Le nom de ce Trojan est une abréviation du nom du programme malveillant "Tinybanker" écrit sur un assembleur et de taille compacte. Toutefois, ses fonctionnalités n’ont rien à envier à de nombreux programmes similaires de plus grand volume.

Politique et messages non sollicités d’escroquerie à la nigériane

Nous avons recensé en août de nouveaux messages d’escroquerie à la nigériane qui exploitaient la situation en Ukraine. Les auteurs de ces messages en anglais utilisaient le nom de Victor Yanukovitch, ex-Président ukrainien, pour tenter de convaincre les destinataires de la véracité de l’histoire. Cette fois-ci, la demande d’aide pour investir de l’argent en échange d’une généreuse récompense, thème favori dans ce type d’escroquerie, émanait d’un ancien conseiller financier du président dont une partie des actifs avaient été transférés en secret sur le compte personnel du conseiller à Londres.

Après un intervalle assez long, Mikhail Khodorovsky est devenu à nouveau le héros d’histoires inventées par les auteurs de messages d’escroquerie à la nigériane. Les messages que nous avons interceptés provenaient d’individus qui, d’après les auteurs du texte, appartenaient au cercle intime de Khodorovsky. Pour tromper les utilisateurs, les escrocs utilisaient le sujet classique de la récompense en échange d’une aide pour investir ou transférer une importante somme d’argent. Afin de rendre les messages plus authentiques, ces derniers contenaient des liens vers des articles officiels consacrés à Mikhail Khodorovsky. De plus, le texte du message précise que toutes les transactions sont légales et que la victime ne coure aucun risque.

Un des exemplaires de cette campagne ne fournit qu’un minimum d’informations. La personne intéressée est tout simplement invitée à contacter les escrocs. D’autres versions sont plus détaillées et reprennent non seulement tous les détails de l’offre alléchante, mais également une biographie de Khodorovsky qui n’avait pas eu le temps de terminer une transaction avant son arrestation, mais qu’il a l’intention de l’achever maintenant qu’il est libre. Mais vu que le milliardaire ne peut plus utiliser pour ce faire son ancienne société, il recherche quelqu’un qui pourrait lui venir en aide. Il est intéressant de voir que les auteurs d’escroqueries à la nigériane proposent au destinataire du message de se "désabonner" en envoyant simplement un message via un lien situé à la fin du message. Cette astuce permet aux escrocs de composer une base de données d’e-mails actifs pour des campagnes ultérieures.

Publicités pharmaceutiques dans de faux messages de Google Play

Le spam contenant des publicités pour des médicaments sert souvent à diffuser des offres pour des médicaments qui peuvent aider à perdre du poids, à augmenter la puissance ou à augmenter la taille des organes génitaux. En général, ces messages contiennent un petit morceau de texte avec un lien vers le site du magasin où le destinataire pourra acheter les produits proposés. Parfois, ils ne contiennent que le lien. Le spam graphique est également souvent utilisé pour diffuser ce genre de proposition. Il arrive toutefois que nous rencontrions des méthodes publicitaires inhabituelles pour ces médicaments traditionnels. Ainsi, nous avions évoqué dans notre blog à l’automne de l’année dernière, des messages qui ressemblaient à des messages de phishing envoyés au nom de sociétés connues. Nous avons découvert à nouveau des campagnes similaires en août.

Cette fois-ci, le message de phishing ressemblait à une notification du magasin Google Play qui confirmait un achat. Afin de conférer un aspect légitime à ce message, les auteurs du spam utilisaient une adresse qui ressemblait à l’adresse de l’expéditeur ainsi que le logo officiel du magasin. Il faut signaler que les liens repris dans le corps du message étaient inactifs. Il s’agissait simplement de texte écrit dans le style des liens. Ils ne menaient à aucun site, au contraire de ce qui se passe dans les autres messages de phishing. Il se peut que les auteurs de cette campagne de spam aient pensé que les fausses notifications sont moins bien détectées que les formes traditionnelles de publicité pour des médicaments et c’est la raison pour laquelle ils ont rédigé des messages qui ressemblaient à des messages de phishing classiques.

La belle saison des spammeurs

Dans le spam anglophone, le sujet des vacances a été abordé dans des campagnes proposant des voyages organisés à Hawaii ou au Costa Rica, des aventures dans la forêt tropicale ou des offres de réservation de son propre avion pour des voyages d’affaires ou touristiques. Les adresses d’expédition de ces messages changeaient et le texte contenait des liens vers des sites créés récemment et qui permettaient aux visiteurs de comparer les prix des services proposés et de choisir l’offre la plus intéressante parmi celles proposées par les différents partenaires.

Nous avons également vu des messages proposant aux destinataires de gagner de l’argent sur Internet, ce qu’on appelle les options binaires, afin de recevoir un revenu important et rapidement qui couvrira tous les frais associés aux vacances prévues.

Comment (ne pas) rembourser ses dettes

Parmi les autres sujets remarquables dans le spam du mois d’août, il convient de citer les aides pour rembourser toutes les dettes imaginables, aussi bien pour des particuliers que pour des entreprises. Les auteurs de ces campagnes ont diffusé des messages avec une mise en page attrayante et ils ont utilisé des tournures de phrase telles que « payez uniquement ce que vous pouvez » ainsi que des appels à ne pas rembourser les dettes accumulées. Le lien du message menait à un site parking créé récemment et porteur d’un nom caractéristique comme zero-debt-now. Ce site offrait la possibilité de consolider les dettes (à savoir, obtenir un crédit unique pour rembourser plusieurs autres), mais pouvait proposer également l’obtention d’un crédit ou d’une carte de crédit à des conditions avantageuses.

De leur côté, des messages envoyés au nom d’agences de recouvrement de créances ou de juristes privés proposaient aux destinataires de récupérer les sommes dues rapidement, sans passer par la justice et presque totalement. Les messages publicitaires fournissaient une brève description de l’activité de l’organisation et de ses caractéristiques. Ils fournissaient également des statistiques (montants récupérés, nombre de clients satisfaits, etc.) et reprenaient les numéros de téléphone pour prendre contact. Les chiffres des numéros de téléphone étaient souvent brouillés délibérément pour déjouer les filtres anti-spam. Les auteurs des messages promettaient la réussite même dans les cas où d’autres agences avaient échoué.

Statistiques

Part du courrier indésirable dans le trafic de messagerie


Part du courrier indésirable dans le trafic de messagerie

Au mois d’août, la part de courrier indésirable dans le trafic de messagerie a atteint en moyenne 67,2 %, soit une progression de seulement 0,2 % par rapport au mois précédent. Au cours du mois d’août, la part de messages non sollicités a connu une augmentation stable : elle est passée de 64,9 % au début du mois à 70,4 % à la fin.

Pays, source du courrier indésirable

A l’issue du mois d’août, le classement des pays source du courrier indésirable diffusé mondialement est à nouveau mené par les Etats-Unis (15,9 %) qui ont enregistré une progression de 0,7 %. Vient ensuite la Russie (6 %) dont la part de courrier indésirable a légèrement augmenté (0,4 %). La Chine referme le trio de tête avec 4,7 %, en recul de 0,6 % par rapport au mois dernier.


Pays, source de courrier indésirable

Le Viet Nam est en 4e position avec 4,7 %, soit une progression de 1,2 % et de quatre places par rapport à juillet. L’Argentine occupe la 5e position (4,4 %). Elle perd un point dans le classement, mais la part de courrier indésirable diffusée depuis ce pays a légèrement augmenté.

L’Allemagne demeure en 6eš position (3,6 %) et enregistre un léger recul de son indice de part de courrier indésirable. L’Ukraineš (2,9 %) quitte le Top 5 au mois d’août et se retrouve en 8e position. Le Brésil (2,9 %) a quant à lui enregistré une légère progression de 0,5 % et fait son entrée dans le Top 10 en 9e position. L’Inde referme le Top 10 avec un résultat de 2,8 %.

On signalera également la légère augmentation de l’activité des spammeurs de Corée du Sud (1,9 %) et l’entrée de ce pays dans notre liste pour le mois d’août.

Pièces jointes malveillantes dans le courrier

Au mois d’août, le Top 10 des programmes malveillants diffusés par email était le suivant.


Top 10 des programmes malveillants diffusés par email

Trojan.JS.Redirector.adf a décroché la première position. Son nom est évocateur : ce programme est une page HTML qui, à son ouverture, redirige le visiteur vers une page infecté. Une fois sur cette page, l’utilisateur est invité à télécharger Binbot, un service de transactions automatique en options binaires, très populaires actuellement sur Internet. Le programme est diffusé par email dans une archive ZIP qui n’est pas protégée par un mot de passe.

Les programmes Trojan-Downloader.Win32.Upatre.to et Trojan-Downloader.Win32.Upatre.tqš de la catégorie Trojan Downloader occupent respectivement la 3e et la 6e position. Les programmes de cette famille sont assez simple. Leur taille ne dépasse pas 3,5 Ko environ et ils téléchargent habituellement un Trojan Banker de la famille Dyre/Dyzap/Dyreza. La liste des banques attaquées par ce programme malveillant de type banker varie en fonction du fichier de configuration envoyé par le centre de commande.

Trojan-Banker.Win32.Fibbit.rq occupe la 4e position. Ce programme de type Trojan Banker s’introduit dans une application Java pour banque électronique afin de voler les informations d’authentification ou autres et les clés et pour substituer les transactions et leurs résultats.

Backdoor.Win32.Androm.enji et Backdoor.Win32.Androm.erom occupent respectivement les 5e et 6e positions. Ils appartiennent tous les deux à la famille des bots modulaires universels Andromeda – Gamarue. Parmi leurs fonctionnalités principales, citons le téléchargement, l’enregistrement et le lancement d’un fichier exécutable ; le téléchargement et le chargement d’une DLL (sans l’enregistrer sur le disque), le téléchargement de plug-ins et la possibilité de ce mettre à jour et de ce supprimer. Les fonctionnalités du bot sont enrichies à l’aide d’un système de plug-ins que les individus malintentionnés chargent en quantité requise à n’importe quel moment.

Trojan.Win32.Bublik.clhs et Trojan.Win32.Bublik.bwbx, des modifications du programmes malveillant Bublik que nous connaissons bien, se retrouvent en 7e et 8e positions. Il s’agit de chevaux de Troie de téléchargement des plus traditionnels : ils se contentent de télécharger, puis d’exécuter un fichier malveillant sur l’ordinateur de l’utilisateur.

Trojan-Spy.Win32.LssLogger.bos referme la liste. Il s’agit d’un programme malveillant qui possède un très large éventail de fonctions, parmi lesquelles il convient de citer la possibilité de voler les mots de passe d’une grande liste d’applications. Toutes les informations volées sont ensuite envoyées par email aux individus malintentionnés.


Répartition des déclenchements de l’antivirus protégeant les emails par pays

Au mois d’août, la Grande-Bretagne a progressé de 6,26 % (13,16 %) et figure à nouveau parmi les leaders en fonction du nombre de déclenchements de l’antivirus protégeant les emails, devant l’Allemagne (9,58 %, -1,49 %) et les Etats-Unis (7,69 %, – 1,59 %) en 2e et 3e position respectivement.

La plus grande surprise aura été le bond de la Russie (6,73 %) de la 8e à la 4e position de notre classement. Sa part a progressé de 3,33 % en août.

L’Italie (3,31 %) recule de la 5e à la 8e position et perd 1,33 % tandis qu’Hong Kong (2,74 %) progresse de 0,28 % et devance l’Australie, la Turquie et le Viet Nam.

Particularités du courrier indésirable malveillant

Au mois d’août, les escrocs qui ont diffusé des programmes malveillants par email ont à nouveau utilisé de fausses notifications au nom de Facebook pour piéger les destinataires. Cette fois-ci, le destinataire recevait, depuis une adresse sans aucun rapport avec le réseau social, un message qui signalait la désactivation prochaine du compte. Le texte du message signalait que le réseau social avait été victime depuis quelques jours (voire depuis quelques mois dans certaines versions) d’attaques de pirates et que dans le but d’éviter des conséquences néfastes, l’utilisateur était invité à installer l’utilitaire en pièce jointe.

Chaque message de la campagne contenait une archive ZIP protégée par mot de passe qui renfermait un fichier exécutable, et un mot de passe unique indispensable pour le décompactage. Le nom de la pièce jointe était le nom de l’utilisateur qui recevait le message (nom d’utilisateur de son compte de messagerie) et ce même nom était utilisé pour générer le mot de passe d’ouverture de l’archive. A la fin du message, les escrocs précisait que le fichier pouvait être ouvert uniquement sur un ordinateur personnel tournant sous le système d’exploitation Windows. L’utilitaire de l’archive était en réalité un Trojan Downloader de la famille Trojan-Downloader.Win32.Haze. Ces programmes malveillants téléchargent un autre programme malveillant développé généralement pour voler les données personnelles de l’utilisateur de l’ordinateur ou envoyer des messages infectés à ses contacts.

Phishing

Sur l’ensemble du mois d’août, le système Anti-Phishing s’est déclenché 32 653 772 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab, soit une augmentation de 12 495 895 déclenchements par rapport à juillet. Cette hausse sensible est plus que probablement liée à la baisse de la demande de spam publicitaire pendant l’été. Les individus malintentionnés qui ne souhaitent pas perdre de l’argent se rabattent notamment sur la diffusion de messages de phishing.

L’Australie occupe la 1re position du classement du mois d’août des pays touchés par des attaques de phishing. Son indice a doublé pour atteindre 24,4 %. Le Brésil (19,5 %) passe en 2e position. La Grande-Bretagne (15,2 %), le Canada (14,6 %) et l’Inde (14,5 %) occupent respectivement la 3e, 4e et 5e position.


Géographie des attaques de phishing*, août 2014

*Pourcentage d’utilisateurs sur les ordinateur desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays.

Top 10 des pays par pourcentage d’utilisateurs attaqués :

  Pays % d’utilisateurs
1 Australie 24,4
2 Brésil 19,5
3 Royaume-Uni 15,2
4 Canada 14,6
5 Inde 14,5
6 Emirats arabes unis 14,1
7 Équateur 13,1
8 République dominicaine 13
9 Autriche 12,8
10 Chine 12,7

Organisations victimes du phishing

Les statistiques relatives aux cibles des auteurs d’attaques de phishing reposent sur les déclenchements du module heuristique de l’Anti-Phishing. Le module heuristique du système Anti-Phishing se déclenche lorsque l’utilisateur clique sur un lien qui mène à une page de phishing et que les bases de Kaspersky Lab ne contiennent pas d’informations sur cette page. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou encoure, suite à l’action d’un programme malveillant. Après le déclenchement du module, un message relatif à la menace potentielle s’affiche dans le navigateur.

A l’issue du mois d’août, le classement des organisations exploitées par les auteurs d’attaques de phishing n’a pratiquement pas changé. Les portails de messagerie et de recherche occupent toujours la 1re position (30,8 %), soit une progression de 1,3 %. La part d’attaques de phishing contre des réseaux sociaux (17,3 %) a augmenté de 3,3 %. Ces deux catégories représentent près de la moitié de l’ensemble des attaques de phishing enregistrées au mois d’août.


Répartition des organisations victimes d’attaque de phishing, par catégorie
août 2014

Le phishing financier a constitué dans l’ensemble 35,2 % des déclenchements du module heuristique du système Anti-Phishing, soit un recul de 6,6 % par rapport au mois dernier. La réduction globale des attaques contre le secteur financier s’est reflétée dans les sous-catégories également. La part de déclenchements des catégories « Banques » (-4,9 %), « Magasins en ligne » (-1,2 %) et « Systèmes de paiement » (-0,6 %) a diminué.

Top 3 des organisations attaquées

  Organisation % de déclenchements
1 Google 12,61%
2 Facebook 10,05%
3 Yahoo! 6,38%

Parmi les organisations victimes d’attaques de phishing au mois d’août, nous retrouvons une fois de plus en tête les services de Google (12,61 %), bien que l’indice a reculé de 1 %. Facebook conserve sa 2e position avec 10,05 %. Il s’agit du réseau social le plus souvent attaqué. Son indice a progressé de 0,4 %. Le moteur de recherche et les services Yahoo! occupe la 3e position (6,38 %). Pour rappel, la 3e position en juillet était revenue aux services Windows Live.

Dans le trafic de spam du mois d’août, nous avons détecté plusieurs campagnes de phishing visant à voler les informations d’identification pour les services Yahoo!. Ces messages indiquaient que l’administration de Yahoo! avaient identifié des tentatives d’accès au compte de l’utilisateur selon une autorisation non reconnue depuis un autre ordinateur. Cette activité avait créé un doute auprès de l’administration et la décision avait été prise de bloquer le compte si le destinataire du message ne confirmait pas ses données (nom d’utilisateur et mot de passe) sur une page spéciale. Le corps du message contenait deux liens pour la vérification des données personnelles : un pour la confirmation du mot de passe et la suspension du risque de blocage et le deuxième, pour la protection du compte si l’accès était réalisé par une personne autre que l’utilisateur. Les deux liens avaient la même adresse et menaient vers la même page de phishing. Pour rappel, le texte des messages dans les différentes campagnes ne changeait pratiquement pas et la mise en page utilisait le logo de Yahoo!.

Dans une campagne, la page de phishing imitait parfaitement le style de la page officielle d’ouverture de session dans le compte Yahoo!. L’autre utilisait une image de fond différente de l’originale.

L’étude du code HMTL des pages de phishing montre clairement que dans le premier cas, les données saisies par la victime étaient envoyées à la page PHP des individus malintentionnés et dans le deuxième cas, à une adresse email enregistrée sur un service de messagerie gratuit. Le code HTML reprenait également l’adresse utilisée dans le champ de l’expéditeur et l’objet du message. Cela permettait aux individus malintentionnés d’identifier les informations de connexion de l’utilisateur dans le cadre d’une campagne particulière.

Conclusion

La part du courrier indésirable dans le trafic de messagerie en août a augmenté de 0,2 % pour atteindre 67,2 %. Les Etats-Unis (15,9 %), la Russie (6 %) et la Chine (4,8 %) composent toujours le trio de tête des pays source de spam diffusé à travers le monde en août.

Au cours du mois d’août, les escrocs ont été attentifs à la situation politique en Ukraine et ils sont poursuivi la diffusion de messages d’escroquerie à la nigériane pour solliciter de l’aide aux internautes. Des messages en anglais ont été écrits au nom d’un collaborateur de l’ex-Président ukrainien Victor Yanukovitch. L’auteur sollicitait de l’aide pour investir de l’argent. Les événements en rapport avec Mikhail Khodorovsky ont également servi de prétexte aux escrocs pour voler de l’argent à leurs victimes.

Nous avons recensé au mois d’août de nombreux messages malveillants présentés sous les traits de notifications émanant des autorités judiciaires. Ces messages ont été diffusé en plusieurs langues et les programmes malveillants qu’ils contenaient en pièce jointe étaient prévus non seulement pour le vol d’informations personnelles, mais également pour extorquer de l’argent suite au chiffrement des fichiers sur l’ordinateur des victimes.

Le spam publicitaire pharmaceutique au mois d’août a utilisé de fausses notifications du magasin Google Play. Les liens de ces messages menaient vers des pages proposant des médicaments recherchés.

De plus, au cours du dernier mois de l’été, les spammeurs ont réalisé une promotion active pour des agences de voyages et des agences de recouvrement de créances.

Trojan.JS.Redirector.adf occupe la tête du classement des programmes malveillants diffusés par email. Notre vieille connaissance Trojan-Spy.HTML.Fraud.gen, qui avait occupé la 1re position pendant de nombreux mois, se maintient en 2e position.

A l’issue du mois d’août, le nombre de déclenchement du système Anti-Phishing sur les ordinateurs des produits de Kaspersky Lab a augmenté de près de 50 % pour atteindre 32 653 772 déclenchement. Selon les statistiques, 24,4 % des attaques ont touché des utilisateurs en Australie. Les portails de recherche et de messagerie dominent toujours le classement des organisations exploitées par les auteurs d’attaques de phishing (30,8 %). L’indice global du phishing financier a reculé de 6,6 % pour atteindre 35,2 %. Yahoo! a fait son entrée dans le Top 3 des organisations victimes d’attaques de phishing.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *