Courrier indésirable en juillet 2013

Juillet en chiffres

  • La part du courrier indésirable dans le trafic de messagerie en juillet a augmenté de seulement 0,1 % pour atteindre 71,2 %.
  • Par rapport au mois de juin, la part de messages de phishing dans le trafic de messagerie a diminué de plus de moitié et représente 0,0012 %.
  • 2,2% des messages électroniques contenaient des fichiers malveillants, soit 0,4 % de de plus que le mois passé.

Particularités du mois

Sujets d’actualité dans le courrier indésirable

Au cours du mois de juillet, nous avons continué à observer des diffusions dans le cadre desquelles les auteurs exploitaient l’intérêt des utilisateurs pour l’actualité du mois. C’est ainsi que la naissance tant attendue du fils du duc et de la duchesse de Cambridge et le scandale d’espionnage impliquant Edward Snowden ne pouvaient pas être ignorés par les diffuseurs de messages non sollicités. Les individus malintentionnés ont maintenu la tradition qui consiste à envoyer des messages avec des liens malveillants, dont le style évoque celui des messages envoyés par les agences de presse pour les événements d’actualité.

De pus, l’intérêt des utilisateurs pour ces événements a été exploité dans le but d’attirer l’attention sur des publicités. L’effervescence autour de la naissance de l’héritier du prince William a été exploitée par les diffuseurs de messages non sollicités dans le cadre de publicités pour des services graphiques et de matériels publicitaires. A l’occasion de la naissance tant attendue, la société proposait des remises sur des stands mobiles.

 

Le scandale impliquant Edward Snowden, ex-collaborateur de la NSA aux Etats-Unis, a été utilisé pour attirer l’attention sur des publicités pour des articles permettant de maigrir. L’objet de ces messages ne citait pas du tout ces articles tandis que le texte du messages proposait non pas des informations sur les méthodes à suivre pour perde du poids, mais bien des détails sur le cas Snowden. Le lien vers les "détails" menait à la page affichant la publicité.

Le nom d’Edward Snowden fut cité plus à propos dans une publicité en allemand pour des logiciels de protection des informations. Le message invitait les destinataires à acheter les produits en publicité car les déclarations de Snowden démontrait que l’espionnage était une pratique très répandue sur Internet.

 

Le ramadan

Cette année, le mois du ramadan célébré par les musulmans a débuté en juillet/août. Nous détectons chaque année des diffusions qui exploitent cet événement pour attirer l’attention des destinataires. Il n’y aura pas eu d’exception cette année : nous avons reçu plusieurs messages en anglais proposant des publicités traditionnelles pour le ramadan de restaurants ouverts la nuit, mais également des publicités pour des voitures ou des stages d’été pour les enfants. 

 

Nouveaux héros des escroqueries à la nigériane

En général, les héros favoris des escroqueries à la nigériane sont des parents ou des compagnons de personnes riches, décédées ou dans une situation difficile. Le président égyptien Mohamed Morsi a été renversé en juillet. Il n’aura fallu que quelques jours avant de recevoir un message d’escroquerie faisant référence au président déchu.

Ce message, prétendument envoyé par le secrétaire de l’ex-président, indique que tous les comptes du président ont été gelés que celui et son secrétaire ont été placés en résidence surveillée. Le message poursuit en affirmant que Morsi est à la recherche d’un musulman qui pourra transférer l’argent du président depuis un compte d’une banque européenne vers le compte du volontaire. Une coquette somme est proposée à titre de remerciement. Et comme dans toute escroquerie à la nigériane classique, les escrocs n’envoient pas la somme promise à la victime et, sous un prétexte attrayant, ils prennent de l’argent à leurs victimes.

 

Escroquerie rare

Nous avons également intercepté un message qui repose sur une version rare de l’escroquerie. Le destinataire reçoit un message depuis une adresse qui ressemble à une adresse d’une banque australienne ou du New Zealand Banking Group. Ce message signale la restriction de l’accès au compte du destinataire. Afin de rétablir l’accès, le destinataire doit appeler un numéro de téléphone repris dans le message. L’appel à ce numéro n’est pas sans danger pour la victime : il peut s’agir d’un numéro payant qui permet d’obtenir de l’argent de la victime ou l’auteur de l’appel sera amené à communiquer ses données bancaires.

 

Messages non sollicités malveillants d’été

La popularité du courrier indésirable touristique varié en été est élevée et nous continuons à recevoir des messages malveillants prétendument envoyés par différentes compagnies aériennes. Nous avons ainsi reçu en juillet un message d’United Airlines, une compagnie aérienne américaine. Le destinataire est informé de la modification de son numéro de siège et les informations relatives au vol se trouve dans l’archive jointe flight document upgrade.doc.zip. L’archive contient le fichier exécutable flight document upgrade.doc.exe, classé par Kaspersky Lab sous le nom Backdoor.Win32.Vawtrak.a.

 

Cette porte dérobée est utilisée par les individus malintentionnés pour voler les mots de passe stockés dans les navigateurs et les mots de passe de clients FTP ou de messagerie. Le programme malveillant envoie également à ses maîtres des captures d’écran du Bureau et offre un accès complet à l’ordinateur, ce qui permet aux individus malintentionnés de charger sur la machine de la victime divers fichiers et de les exécuter.   

Articles et services pour propriétaires d’animaux domestiques

Au cours du mois de juillet, nous avons également observé des messages de publicités pour des biens et des services destinés aux animaux domestiques. Partout dans le monde, les animaux domestiques sont considérés comme des membres de la famille et par conséquent, la demande pour des biens et des services pour les animaux à poils et à plumes est importante. L’offre correspondante est souvent promue à l’aide de messages non sollicités. Ces messages sont diffusés en russe et en anglais.

 

Répartition géographique des sources de courrier indésirable

A l’issue du mois de juillet, les indices des pays source de courrier indésirable à travers le monde n’ont pas connu de fortes modifications, tout comme les positions des pays dans le classement.

 
Pays, source de courrier indésirable

La Chine occupe la première position avec 23,4 % du courrier indésirable envoyé, soit une légère différence par rapport à son résultat du mois antérieur qui était de 23,9 %. Viennent ensuite les Etats-Unis. La part de courrier indésirable envoyé depuis ce pays atteint 18 %, soit 0,8 % de plus qu’en juin. La Corée du Sud referme le trio de tête : 14,9 % du courrier indésirable mondial ont été envoyés depuis ce pays, soit 0,4 % de plus que le mois antérieur. Globalement, ces trois pays représentent une nouvelle fois plus de la moitié de l’ensemble du courrier indésirable mondial.

L’Inde progresse de la 10e à la 7e position. Sa part a augmenté de 0,4 % en juillet pour atteindre 3 %. L’indice du Japon a été presque divisé par trois et passe de 2,7 % à 0,96 % (-1,74 %). Par conséquent, ce pays chute de la 9e à la 16e position. La Russie figure à nouveau dans le Top 10 avec 2,3 %.

Signalons également la progression de 0,6 % de la Roumanie pour atteindre 1,9 %, ce qui se traduit par une progression de la 14e à la 11e place du classement.

La situation des sources de courrier indésirable en Europe à l’issue du mois de juillet était la suivante :

 
Pays, source de courrier indésirable en Europe

Globalement, les positions des pays dans ce classement n’ont pas été chamboulées par rapport au mois de juin.  La Corée du Sud demeure le leader incontesté de l’envoi courrier indésirable en Europe avec 57,4 %, soit une progression de 2,1 %. Cette tendance à la hausse pourrait se maintenir le mois suivant. La Thaïlande (4,3 %) et les Etats-Unis (4 %) occupent respectivement la 2e et la 3e position.

L’Italie (1,9 %), qui occupait la 2e position en juin, a chuté en 8e position. Par rapport au mois précédent, 4,8 % de courrier indésirable en moins ont été envoyés depuis ce pays vers l’Europe.

L’Allemagne figure à nouveau dans notre liste au mois de juillet et referme le Top 10 avec 1,6 %.

 
Régions d’origine du courrier indésirable

L’Asie demeure en juillet la principale région source de courrier indésirable (55,2%), soit une réduction de 2,1% par rapport au mois dernier. Viennent ensuite l’Amérique du Nord (19,4 %) et l’Europe de l’Est (14,3 %) comme le mois dernier. Les indices des régions ont augmenté respectivement de 0,7 % et 1,1 %.

Pièces jointes malveillantes dans le courrier

La part de pièces jointes malveillantes dans le courrier au mois de juillet a augmenté de 0,4 % et représentait 2,2% du trafic de messagerie.

 
Top 10 des programmes malveillants diffusés par courrier électronique

Trojan-Spy.HTML.Fraud.gen occupe une fois de plus la tête du classement des programmes malveillants diffusés par courrier (+2,9 %). Ce programme se présente sous la forme d’une page de phishing pour la saisie de données qui sont envoyées directement aux individus malintentionnés.

Six positions du Top 10 sont occupées par différentes modifications d’un logiciel espion de la famille Zbot/Zeus. Il s’agit d’un des chevaux de Troie espion les plus répandus dont les modifications sont diffusées en grand nombre par courrier électronique depuis plusieurs années déjà. Ce cheval de Troie cherche à voler différents types d’informations confidentielles sur les ordinateurs des victimes, dont les données des cartes de crédit.

Dans la majorité des cas, les individus malintentionnés masquent les messages contenant Zbot sous les traits d’une notification officielle. Il peut s’agir d’un message provenant d’une banque, d’un magasin, d’un réseau social ou d’un service de courrier quelconque dont le texte avance une raison quelconque pour convaincre le destinataire d’ouvrir la pièce jointe. Ce mois-ci, les faux messages de Bank of America ont été particulièrement prisés par les individus malintentionnés.

 

Globalement, les diverses modifications de la famille Zbot ont représenté 23,24 % de l’ensemble des programmes malveillants diffusés par courrier en juillet.

En troisième position, soit en recul d’une place par rapport au mois dernier, nous retrouvons Email-Worm.Win32.Bagle.gt (-0,1 %). Ce ver de messagerie se propage à toutes les adresses de messagerie électronique récoltées sur l’ordinateur infecté. Le programme malveillant peut également établir une connexion avec un centre de commande et télécharger d’autres programmes malveillants sur l’ordinateur à l’insu de l’utilisateur.

Email-Worm.Win32.Mydoom.m occupe la 8e position (+0,14%). Outre la fonctionnalité standard de diffusion de sa copie aux contacts de la victime, le vers peut également envoyer des requêtes masquées à des moteurs de recherche tels que Google, Yahoo, Altavista et Lycos. Le ver compare ensuite les adresses des sites sur la première page des résultats de la recherche à la liste d’adresses qu’il a téléchargée sur les serveurs des individus malintentionnés. Dès qu’il trouve une équivalence, le ver ouvre le lien sur la page du moteur de recherche afin d’augmenter le nombre de visites et d’améliorer ainsi le classement du site dans les résultats.

Trojan-Dropper.Win32.Dorifel.afpu referme le Top 10. Une fois installé sur l’ordinateur de la victime, ce cheval de Troie établit une connexion avec un centre de commande, ce qui lui permet d’installer ensuite d’autres programmes malveillants.

Notons la 15e position de SMS-Flooder.AndroidOS.Didat.a. Il semblerait que c’est la première fois qu’un programme malveillant pour Android se hisse aussi haut dans le classement. SMS-Flooder.AndroidOS.Didat.permet d’organiser des envois massifs de SMS. L’augmentation du nombre de programmes malveillants pour Android dans le courrier est un phénomène attendu et s’inscrit dans la tendance à la hausse du nombre de ce genre de programmes malveillants. Nous estimons qu’à l’avenir, le nombre de programmes malveillants sous Android diffusés via courrier va augmenter.

 
Répartition des déclenchements de l’Antivirus Courrier par pays

Après l’anomalie du mois de juin, les anciens leaders de la diffusion de courrier indésirable ont retrouvé leur position : les Etats-Unis occupent la première place (+4,1%), l’Allemagne se trouve en deuxième position (+1,7 %) et l’Inde ferme le trio de tête (+0,8 %).

La Grande-Bretagne se hisse à la 4e position (+2,6 %) et renvoie l’Australie en 8e position.

La part de déclenchements de l’Antivirus dans les autres pays n’a pratiquement pas changé.

Phishing

Au mois de juillet, la part des messages de phishing dans le courrier international a été réduite de plus de la moitié et représentait 0,0012 %.

 
Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie*

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

A l’issue du mois de juillet, les réseaux sociaux occupent toujours la première place dans le classement des organisations ciblées par les auteurs d’attaques de phishing, même s’ils sont en recul de 1,7 % pour atteindre 29,6 %.

La part d’attaques contre les services de messagerie a augmenté de 4,4 %, ce qui lui a permis de passer de la 4e à la 2e position. Les moteurs de recherche, quant à eux, reculent d’une place (15,5 %) et occupent désormais la 3e position. Les services financiers et de paiement occupent la 4e position en juillet avec 13,3 %.

La liste des organisations, de la 5e à la 8e position, est inchangée. Les indices des fournisseurs de technologies de l’information (8,5 %) et des opérateurs de téléphonie et de fournisseurs d’accès Internet (7,1 %) a reculé de 1 % seulement tandis que la part des magasins en ligne (6,4 %) et des jeux en ligne (0,83 %) n’a que très peu changé.

Une des attaques de phishing typique du mois de juillet visait le système de crédit anglais Wonga. Le faux message, envoyé au nom de la société, signalait un problème dans la base des comptes système. L’utilisateur devait actualiser les données du compte au risque de voir son compte et l’argent qui s’y trouvait bloqués. Pour ce faire, le destinataire pouvait se rendre dans une succursale de la société ou télécharger et remplir le formulaire en pièce jointe et le renvoyer par courrier électronique. Un document HTML dans lequel il fallait saisir l’adresse de messagerie et le mot de passe du compte utilisateur était joint au message. Si l’utilisateur remplissait le formulaire et le renvoyait, les individus malintentionnés obtenaient ses données personnelles et pouvaient ainsi accéder à son espace personnel et à son argent.

 

Parmi les nouvelles cibles des auteurs d’attaques de phishing, citons la société Alibaba qui fonctionne sur Internet. Les faux messages envoyés au nom de la société étaient destinés aux fournisseurs des articles proposés dans le magasin en ligne Alibaba Showroom. Le message signalaient que les consommateurs étaient intéressés par les articles proposés sur le site. Pour prendre connaissance d’un document prétendument important, le destinataire du message devait ouvrir une session via un lien repris dans le message. Ce lien menait en réalité à une page fictive contenant un formulaire pour la saisie d’une adresse de messagerie et d’un mot de passe.

 

Conclusion

A l’issue du mois de juillet, la part de courrier indésirable dépasse toujours 70 % du trafic de messagerie.

L’été, période des vacances, se caractérise par un ralentissement de l’activité des commanditaires de publicité et des internautes. Comme toujours, le manque de commandes pour la diffusion de publicités commerciales amène les diffuseurs de messages non sollicités à coopérer avec des partenariats qui visent principalement à propager du contenu malveillant. La part de messages contenant des pièces jointes malveillantes a dépassé 2 %. Parmi les programmes malveillants diffusés par courrier, ce sont les chevaux de Troie espions qui dominent. Ils volent entre autres les informations financières des utilisateurs. Le cheval de Troie Zbot est particulièrement utilisé par les individus malintentionnés. Il représente 23,24 % de l’ensemble des programmes malveillants diffusés en juillet en tant que pièces jointes.

Un programme malveillant pour Android a fait son entrée en 15e position dans le classement des programmes malveillants. Les smartphones et les tablettes sous ce système d’exploitation sont très répandus et la tendance à la hausse se maintient. Nous prévoyons non seulement la hausse du nombre de programmes malveillants de ce genre dans le courrier, mais également leur diversification. Il est probable que les programmes qui envoient des SMS seront bientôt rejoints par des chevaux de Troie qui volent les données confidentielles. Nous conseillons aux utilisateurs de prendre les mesures adéquates pour protéger les ordinateurs de bureau, mais également les appareils nomades.

Le mois de juillet aura été riche en événements marquants. Les diffuseurs de courrier indésirable ont depuis toujours exploité l’intérêt du public pour ces événements en diffusant des messages contenant des liens malveillants présentés comme des liens vers des sites d’information. Les escrocs prêtent également attention à l’actualité : nous avons détecté des messages d’escroquerie à la nigériane envoyés au nom de collaborateurs de Mohamed Morsi, le président égyptien renversé au début du mois de juillet.

Le ralentissement de l’activité des internautes en été a certainement influencé la réduction de la part des messages de phishing dans le courrier. Parmi les organisations prises pour cible par ces attaques, les services de messagerie ont progressé, mais la hausse n’est pas aussi marquée qu’en juin. Cette hausse est probablement temporaire et s’explique par la période des vacances. Il se peut que l’indice des services de messagerie soit également élevé au mois d’août, mais la situation devrait changer dès le mois de septembre.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *