Courrier indésirable en avril 2014

Particularités du courrier indésirable malveillant

En avril, les diffusions de messages non sollicités ont fait allusion à la fête de Pâques qui approchait : ce sujet a été exploité non seulement par les entités à l’origine de courriers indésirables (spam) qui assuraient la promotion de leurs produits, mais également par divers escrocs qui ont diffusé de fausses notifications signalant aux destinataires qu’ils avaient remporté le premier prix d’une loterie ou des messages intégrant des programmes malveillants sous les traits de cartes électroniques de félicitations.

Les escrocs ont également envoyé de nombreux messages qui proposaient aux destinataires de gagner de l’argent en achetant des actions d’une société pharmaceutique américaine (courriers indésirables pump and dump). Plusieurs campagnes importantes ont promu divers centres médicaux et cabinets dentaires ainsi que des méthodes de lutte contre des habitudes nocives ou des cures de désintoxication pour alcooliques et toxicomanes.

Courrier indésirable pascal

La fête de Pâques est une fête religieuse importante aussi bien chez les Orthodoxes que chez les Catholiques et c’est la raison pour laquelle elle est célébrée par les croyants du monde entier. Chaque année, un volume important de messages non sollicités s’en inspire. Ainsi, le courrier indésirable anglophone au mois d’avril contenait des campagnes traditionnelles de partenariats de « fleuristes », dont le style ne change pratiquement pas d’année en année, ainsi que des offres pour la fabrication d’articles personnalisés en rapport avec Pâques.



Les diffuseurs de spam n’ont pas oublié non plus la publicité pour les cures d’amaigrissement et de rajeunissement. Les offres proposant de perdre rapidement du poids ou de se débarrasser des rides s’inspiraient de la thématique pascale et citaient le nom de la fête dans l’objet et dans le texte du message.



Les messages d’escroquerie évoquant des gains dans une loterie se sont également inspirés de Pâques. Le nom de la fête était cité dans l’objet du message afin d’attirer l’attention du destinataire tandis que les vœux au début du message devaient convaincre le lecteur des bonnes intentions de l’auteur.



Jouer en bourse

Nous avons observé en avril une nouvelle vague de spam financier de la catégorie « pump and dump ». Les auteurs de ces messages proposent aux destinataires d’acheter des actions d’une société X à un prix très bas en prétextant que le cours de cette action va bientôt connaître une hausse sensible. La demande pour les actions de cette société augmente, ce qui entraîne une hausse artificielle du cours de ses actions et c’est à ce moment que les escrocs vendent les actions qu’ils détiennent. Ensuite, le cours de l’action chute et les investisseurs floués se retrouvent avec des papiers sans aucune valeur et perdent leur investissement. En général, les escrocs choisissent pour cela des sociétés inconnues dont les actions sont cotées sur le marché secondaire. En avril, ils ont utilisé la société pharmaceutique américaine Rich Pharmaceuticals.



Les campagnes de spam de type pump and dump identifiées ont été réalisées au nom de différentes sociétés actives dans le milieu des investissements et de la vente d’actions aux investisseurs potentiels. Afin de donner un caractère légitime aux messages, les escrocs utilisaient le logo de sociétés réelles et utilisaient leur nom en tant que nom de l’expéditeur alors que l’adresse de l’expéditeur reprise dans le champ « From » (« De ») ne ressemblait pas du tout aux adresses officielles de ces sociétés. Et pour compliquer l’identification des messages, les diffuseurs de courriers indésirables ont utilisé des images et du texte poubelle en fin de message.

Courrier indésirable au service de la santé

Le courrier indésirable médical du mois d’avril a été principalement consacré à la guérison de maladies concrètes. Ainsi, ces messages proposaient des remèdes contre la calvitie et les problèmes de vessie, invitaient les destinataires à passer des examens médicaux complets ou promettaient de régler une fois pour toutes les problèmes de diabète, d’arthrite ou d’autres maladies. La majorité de ces messages se présentait sous la forme d’images avec un lien qui menait vers le site parking de spam où l’internaute allait découvrir une liste de services, de cliniques spécialisées ainsi qu’un tableau de comparaison des prix. L’ensemble de ces messages provenait d’adresses associées à des domaines d’un jour créés récemment.



Les cabinets dentaires, quant à eux, ont beaucoup utilisé le courrier indésirable pour présenter leur service de pose d’implants dentaires bon marché de différents fabricants.



Le spam pour lutter contre les mauvaises habitudes

Des diffusions de courriers indésirables en avril ont proposé aux fumeurs de lutter contre cette habitude en abandonnant la cigarette au profit de la cigarette électronique. Le destinataire qui cliquait sur le lien repris dans le message non sollicité de présentation du magasin en ligne pouvait commander n’importe quel goût ou quantité du substitut électronique. Le texte du message citait également tous les avantages de la cigarette électroniques par rapport à la cigarette traditionnelle.



Outre les méthodes pour arrêter de fumer, les diffuseurs de courrier indésirable proposaient également des cures de désintoxication pour les alcooliques et les toxicomanes. Ces messages provenaient d’adresses qui changeaient en permanence et qui étaient associées à des domaines qui venaient d’être créés. Les liens repris dans ces messages menaient vers des sites parking proposant différents services médicaux qui n’étaient pas forcément en rapport avec le traitement des dépendances.



Statistiques

Part du courrier indésirable dans le trafic de messagerie



Part du courrier indésirable dans le trafic de messagerie

Au mois d’avril, la part de courrier indésirable dans le trafic de messagerie a atteint en moyenne 71,1 %, soit une progression de 7,6 % par rapport au mois dernier. Le volume de courrier indésirable a atteint un pic de 73 % au cours de la dernière semaine du mois tandis que sa valeur la plus faible (69,6 %) a été enregistrée au cours de l’avant-dernière semaine.

Répartition géographique des sources de courrier indésirable

À l’issue du mois d’avril 2014, le trio de tête des pays sources de courrier indésirable diffusé à travers le monde a enregistré les modifications suivantes. La Chine, dont l’indice n’a enregistré qu’une réduction de 0,5 % pour atteindre 24,1 %, occupe une fois de plus la 1re position. Elle est suivie par la Corée du Sud (15,6 %) qui quitte ainsi la 3e position qu’elle occupait le mois dernier ; la part de courrier indésirable envoyé depuis ce pays a augmenté de 2,4 %. Les Etats-Unis (12,1 %) passent en 3e position et ce, en raison d’un recul enregistré de près de 5 %.




Pays, source de courrier indésirable

La Russie (9,1%) et Taïwan (6,5%) restent dans le Top 5. L’indice de la Russie a enregistré une progression de 2,5 %.

On observe également une augmentation de la part de courrier indésirable envoyé depuis le Viet Nam (4,2 %), l’Ukraine (2,7 %) et les Philippines (1,9 %) : les indices de ces pays ont progressé en moyenne de 0,6 %. Ceci permet aux Philippines d’occuper la 9e position du classement. Pour rappel, ce pays était en 11e position le mois dernier.

Le Japon referme le Top 10 avec 1,9 %. La part de courrier indésirable envoyée depuis ce pays n’a pratiquement pas changé, mais le pays perd malgré tout une place. La Roumanie (1,4 %) a quitté le Top 10 en avril.

On observe une augmentation de la diffusion de courrier indésirable en France (1 %). Ce pays fait son entrée dans notre Top 20 en 12e position. L’Allemagne, avec 0,7 %, est une autre nouveauté de notre classement.




Pays, source de courrier indésirable en Europe

A l’issue du mois d’avril, la Corée du Sud demeure le principal pays diffuseur de courrier indésirable en Europe avec 56,3 % (progression de 5,5%). La 2e position est désormais occupée par Taïwan (7,8 %). La part de messages non sollicités envoyés depuis ce pays a augmenté de 1,8 %. Les Etats-Unis referment le trio de tête avec 6,9 %, soit un recul de 0,7 % par rapport au mois de mars.

La Russie (5,1 %) conserve sa 4e position et elle enregistre une hausse de 0,8 % au cours du mois. Le volume de courrier indésirable envoyé en avril depuis la France (3,1 %) a lui aussi augmenté, ce qui fait progresser ce pays de la 19e à la 5e position.

Le volume de courrier indésirable envoyé en Europe depuis l’Ukraine (1,5 %) et depuis la Roumanie (1,3 %) a reculé de 0,3 et de 0,4 % respectivement. La Grande-Bretagne occupe à nouveau la 10e position avec 1,2 %, suite à un recul de 0,5 %.

La part de courrier indésirable a reculé de 2 % en Chine (1 %) et de 0,3 % en Pologne (0,6 %) et en Italie (0,6 %). L’Allemagne, de son côté, enregistre une légère augmentation de l’activité, et obtient un résultat de 0,9 % en avril.

Les Pays-Bas (0,8 %) et la Turquie (0,4 %) viennent s’ajouter à notre liste de pays en avril.




Régions d’origine du courrier indésirable

L’Asie domine toujours le classement des diffuseurs du courrier indésirable (59,8 %). L’Europe de l’Est (16,9 %) et l’Amérique du Nord (12,3 %) ont changé de position et occupent respectivement la 2e et la 3e places en avril. La part de courrier indésirable diffusée depuis l’Europe de l’Est a augmenté de plus de 2 % tandis que l’indice pour l’Amérique du Nord a reculé de près de 5 %.

Viennent ensuite l’Europe de l’Ouest (5,3 %) et l’Amérique latine (2,9 %), où l’on observe également une augmentation de la part de courrier indésirable envoyé de 0,6 et de 0,5 % respectivement.

Pièces jointes malveillantes

Au mois de février, le Top 10 des programmes malveillants diffusés par email était le suivant.




Top 10 des programmes malveillants diffusés par email

Comme le veut la tradition, c’est Trojan-Spy.HTML.Fraud.gen qui ouvre la liste des programmes malveillants diffusés par email. Après les nombreuses publications et mentions relatives à ce programme malveillant, on aimerait croire à une baisse du nombre de victimes. Pour rappel, Trojan-Spy.HTML.Fraud se présente sous la forme d’une page HTML de phishing diffusée dans un email contenant une prétendue notification importante d’une banque, d’un magasin en ligne, de divers services, etc.

En avril, plusieurs représentants de la famille Bublik ont fait leur entrée dans notre Top 10. Tous les programmes malveillants de cette famille qui ont fait leur entrée dans le Top 10 téléchargent sur l’ordinateur infecté un cheval de Troie de la famille ZeuS/Zbot (que nous avons évoqué à maintes reprises dans nos rapports). Les membres de cette famille peuvent attaquer des serveurs et des ordinateurs de particuliers et ils peuvent également intercepter des données. Bien que ZeuS/Zbot soit en mesure de réaliser diverses actions malveillantes, il intervient généralement dans le vol d’informations d’identification pour l’accès aux services de transactions bancaires par Internet. Il peut également installer CryptoLocker, un programme malveillant qui exige le paiement d’une somme d’argent pour déchiffrer les données de l’utilisateur.

On retrouve Trojan-Downloader.Win32.Agent.heek en 3e position. Ce downloader télécharge des Trojan espion développés pour voler des informations financières confidentielles. Dans la majorité des cas, les programmes de ce type visent des banques établies au Brésil et au Portugal.

Le ver Email-Worm.Win32.Bagle.gt, qui occupe la 8e position en avril, a atténué une attaque massive de membres de la famille Bublik. Après l’infection, le virus-ver Email-Worm.Win32.Bagle.gt se propage à toutes les adresses électroniques relevées sur l’ordinateur infecté. Sa tâche principale est le téléchargement et l’exécution de fichiers depuis Internet à l’insu de l’utilisateur.

Exploit.Win32.CVE-2012-0158.j occupe la 9e position. Il se présente sous la forme d’un fichier DOC qui exploite une vulnérabilité dans le code mscomctl.ocx de Microsoft Office afin d’installer et d’exécuter un malware.




Répartition des déclenchements de l’antivirus protégeant les emails par pays

Les Etats-Unis (11,73%), dont l’indice a reculé de 0,28 %, occupent la tête du classement des pays par déclenchements de l’antivirus protégeant les emails. La Grande-Bretagne (9,95 %) et l’Allemagne (9,47 %) occupent respectivement les 2e et 3e positions.

La part de déclenchements de l’antivirus protégeant les emails a augmenté de 2,13 % au Brésil (4,13 %), ce qui permet à ce pays d’atteindre la 5e position. L’indice de la Russie a diminué de 0,25 %, suite à quoi la Russie passe de la 16e à la 20e position. La part de déclenchements de l’antivirus protégeant les emails dans les autres pays n’a pas connu de modifications notables en avril.

Particularités du courrier indésirable malveillant

Le lendemain de Pâques, des individus malintentionnés ont diffusé des messages suspects en allemand, utilisant le nom d’un utilisateur dont la boîte aux lettres avait été visiblement compromise. Ces messages contenaient des vœux et une carte suspecte (en pièce jointe) qui était en réalité le programme malveillant Trojan-PSW.Win32.Fareit.aonw. À la différence d’autres versions au sein de la famille Fareit, la fonction du programme malveillant détecté était un peu plus modeste : il ne volait pas les mots de passe des applications, mais il téléchargeait et exécutait un autre cheval de Troie, Trojan-Spy.Win32.Zbot.sbba, développé pour attaquer des serveurs et voler des données personnelles.



Nous avons également enregistré en avril plusieurs attaques malveillantes importantes organisées sous la forme de la diffusion de fax à l’aide du célèbre service d’envoi de fax par Internet eFax qui permet d’envoyer et de recevoir des fax en tant que pièce jointe par courrier électronique. Ces fausses notifications faisaient en général allusion à la réception d’un fax et pour convaincre le destinataire de l’authenticité du message, le texte indiqué le nombre de pages contenues dans le document. Les archives contenaient en réalité un programme malveillant (Trojan-Downloader.Win32.Cabby.a) qui est un petit cheval de Troie de téléchargement qui contient un fichier CAB avec un document ou une image présenté à l’utilisateur après l’exécution. Tandis que la victime regarde la pièce jointe, Cabby télécharge un autre programme malveillant à l’insu de l’utilisateur. Dans le cas que nous avons étudié, le programme malveillant téléchargé était un membre de la célèbre famille ZeuS/Zbot (Trojan-Spy.Win32.Zbot.shqe).



Phishing

Dans le classement du mois d’avril des organisations exploitées par les auteurs d’attaques de phishing, nous avons regroupé le courrier électronique, les clients de messagerie instantanée et les moteurs de recherche au sein d’une seule catégorie que nous avons baptisée « Portails de courrier électronique et de recherche ». C’est cette catégorie qui occupe la tête du classement en avril avec 31,9 %. Les réseaux sociaux occupent la 2e position. Leur indice a atteint 23,8 %, en recul de 0,2 %. Les organisation financières et de paiement, qui ont perdu également 0,2 %, arrivent en 3e position avec 13 %. La part d’attaques contre les magasins en ligne a augmenté de 0,8 % pour atteindre 12,1 %. Les indices des autres catégories ont enregistrés de très légères variations qui n’ont eu aucun impact sur leur classement.




Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

De grandes entreprises chinoises sont souvent prises pour cible par les auteurs d’attaques de phishing. Citons notamment la société de télécommunication Tencent dont les activités incluent, parmi d’autres, le maintien du service de messagerie instantanée QQ. Les escrocs ont tenté d’obtenir les noms d’utilisateur et les mots de passe d’accès à l’espace personnel des clients de la société à l’aide d’une méthode traditionnelle. La fausse notification indiquait qu’une demande de récupération avait été envoyée pour le compte de l’utilisateur. Comme la demande avait été formulée par un utilisateur tiers, l’accès au compte avait été restreint afin d’éviter le vol de données personnelles.

Pour annuler la demande, l’utilisateur devait cliquer sur un lien qui menait vers une page de phishing. Il faut signaler que la notification était envoyée sous la forme d’une image, ce qui compliquait la tâche des filtres antispam et qui permettait de donner un caractère d’authenticité au message.



Conclusion

La part du courrier indésirable dans le trafic de messagerie en avril a augmenté de 7,6 % pour atteindre 71,1 %. Le volume de courrier indésirable a atteint un pic de 73 % au cours de la dernière semaine du mois.

Le courrier indésirable inspiré par la fête de Pâques a atteint son niveau maximum en avril. Globalement, les diffuseurs de courriers indésirables ont envoyé des propositions relatives à divers biens et services en rapport avec Pâques, mais également des publicités pour des articles sans rapport direct avec cette fête religieuse. La fête de Pâques a également été citée dans des messages d’escroquerie annonçant des gains dans une loterie et ce, pour attirer et tromper l’utilisateur. De plus, les individus malintentionnés ont profité de Pâques pour envoyer des messages de félicitations contenant des programmes malveillants.

Le trio de tête des pays source du courrier indésirable diffusé dans le monde entier en avril fut le suivant : Chine (24,1 %), Corée du Sud (15,6 %) et Etats-Unis (12,1 %). L’Asie domine toujours le classement des régions en matière de diffusion du courrier indésirable (59,8 %).

A l’issue du mois d’avril, la 1re position du classement des organisations ciblées par les auteurs d’attaques de phishing revient à la nouvelle catégorie « Portails de courrier électronique et de recherche » (31,9 %). Les réseaux sociaux conservent leur 2e position (23,8 %) tandis que les organisations financières et de paiement arrivent en 3e position avec 1,3 %.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *