Courrier indésirable en juillet 2014

Particularités du mois

Au mois de juillet, le courrier indésirable utilisant diverses célébrations reposait sur la fête du Ramadan. Ces messages non sollicités contenaient des offres de diffusion de messages publicitaires par téléphone ou par courrier électronique ainsi que des messages d’escroquerie sollicitant des investissements. Au cours du mois de juillet, nous avons également observé des messages non sollicités qui proposaient des produits et des services de cosmétique.

Le ramadan

Au cours du mois de juillet les diffuseurs de courrier indésirable ont continué à exploiter la fête religieuse du ramadan dans le cadre de publicités pour des services de diffusion de messages par courrier et par SMS. Ces messages étaient rédigés en anglais. Le corps et l’objet du message attiraient l’attention du destinataire en décrivant des offres spéciales et des remises en l’honneur de cette grande fête musulmane. Les publicités pour des services de diffusion de SMS aux abonnés de compagnies téléphoniques des Emirats arabes unis étaient envoyées depuis des services de messagerie gratuits et adoptaient toutes le même style. Le texte était écrit à l’aide de plusieurs polices et contenait plusieurs coordonnées, par exemple des numéros de téléphone qui différaient dans le corps et dans l’objet du message. Certains messages renseignaient le site de la société qui pratiquait ce marketing par SMS.

Les auteurs d’escroqueries « à la nigériane » n’ont pas fait preuve de beaucoup de créativité en tentant de capter l’attention des destinataires en leur souhaitant un bon ramadan dans le corps et dans l’objet des messages. Les messages d’escroquerie qui sollicitaient des investissements dans un projet commercial quelconque pour un rendement intéressant ont été envoyés non seulement à des destinataires anglophones, mais également à des utilisateurs arabophones.

Il convient de signaler que nous rencontrons désormais de plus en plus souvent des messages dans les langues les plus diverses au sein des flux de courrier indésirable. Et plus particulièrement au cours de la dernière année, le nombre de message en langues sémites, dont l’arabe, a augmenté. Toutefois, dans les messages que nous avons interceptés, l’objet était écrit en anglais et non pas en arabe. Il est probable que les diffuseurs de courrier indésirable estiment que ces messages attireront plus de lecteurs car l’anglais est une langue plus répandue.

L’auteur d’un de ces messages se faisait passer pour une mère musulmane et évoquait le contexte politique difficile de la Syrie qui rendait dangereux les investissements dans le pays. Dans ce cas, lorsque le texte du message indique clairement que l’auteur maîtrise l’arabe, le contenu rédigé dans cette langue peut être utilisé en guise d’hameçon afin de conférer plus de légitimité au message.

Beauté & courrier indésirable

Parmi les diffusions de grande envergure que nous avons enregistrées au mois de juillet, nous pouvons mettre en évidence des messages non sollicités offrant divers produits cosmétiques pour les soins de la peau et du visage à destination des femmes ainsi que des campagnes de promotion organisées par des salons de beauté et des centres d’esthétique. Le courrier indésirable est alors utilisé pour tenter de vendre de nombreux produits de beauté, crèmes anti-rides, élixirs de jeunesse, etc. Les expéditeurs des messages proposaient d’envoyer des échantillons de n’importe quel produit afin que le destinataire puisse le tester et ils garantissaient même le remboursement si l’acheteur n’était pas satisfait du résultat. Souvent, les clients potentiels étaient attirés par les promesses de livraison rapide et gratuite partout dans le monde.

Plusieurs centres d’esthétique ont promu activement leurs services d’épilation au laser en attirant les utilisateurs avec des offres à bas prix ou gratuites et le prétexte d’un tirage au sort. Pour capter les clients potentiels, ces messages utilisaient des images saisonnières insistant sur la nécessité de s’épiler pour profiter de la plage. Souvent, ces messages étaient brouillés par du texte sans aucun rapport avec les biens et les services proposés. Dans certains cas, ce volume de contenu "parasite" représentait près de la moitié du message (cf. exemple ci-dessous). Les noms des expéditeurs de ces messages étaient des combinaisons aléatoires de lettres et de chiffres. Les noms des salons et des centres étaient cités dans le message en lui-même, par conséquent il n’y avait aucune difficulté à les trouver à l’aide des moteurs de recherche. Les liens de ces messages menaient à des sites de spam parking, enregistrés sur des domaines créés récemment, qui proposaient des biens et des services similaires ou totalement différents.

Courrier indésirable rafraîchissant

L’été et la chaleur ont contribué à une augmentation du volume d’offres pour des articles de saison : ainsi, nous avons relevé dans le courrier indésirable de nombreuses offres pour des films pare-soleil à appliquer aux fenêtres, des ventilateurs et des appareils de climatisation ainsi que pour des services d’installation et d’entretien de systèmes de climatisation. Nous avons également vu un nombre important de messages proposant des fontaines à eau et les bouteilles spéciales à utiliser avec celles-ci. Toute personne qui commandait cette source de fraîcheur pouvait compter sur une livraison directe à la maison ou au bureau, à un prix spécial pour l’été et avec des cadeaux complémentaires tels que des paniers de fruits jusque la fin de la saison. Pour passer commande, il suffisait d’appeler le numéro de téléphone indiqué dans les messages.

Les lunettes de soleil figurent également parmi les articles très populaires auprès des diffuseurs de spams. Il s’agissait dans la majorité des cas de copies de marques connues, vendues à des prix nettement plus bas que ceux des vrais produits. Souvent, ces messages utilisaient le logo de la marque originale, ainsi que les icônes des différents réseaux sociaux sur lesquels la société en question était officiellement présente. Toutefois, ces icônes n’étaient que des images sans aucune connexion active avec les sites. Cela servait simplement à donner un caractère officiel aux messages. L’utilisateur qui cliquait sur le lien dans le message arrivait, après une multitude de redirections, à une boutique en ligne de lunettes de soleil créée récemment. Les noms de ces sites faisaient souvent référence aux mots glasses (lunettes) ou sunglasses (lunettes de soleil). Parfois, la succession de lettres et de chiffres qui formait l’adresse du site laissait deviner le nom d’origine de la marque de lunettes.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

Au mois de juillet, la part de courrier indésirable dans le trafic de messagerie a atteint en moyenne 67 %, soit une progression de 2,2 % par rapport au mois précédent. Le volume de courrier indésirable a atteint un pic de 67,6% au cours de la deuxième semaine du mois de Juillet tandis que sa valeur la plus faible (66%) a été enregistrée au cours de la première semaine.

Part du courrier indésirable dans le trafic de messagerie

Répartition géographique des sources de courrier indésirable

À l’issue du mois de juillet, le classement des pays source de courrier indésirable diffusé à travers le monde ressemble à ceci :

Pays, source de courrier indésirable

Les Etats-Unis, à l’origine de 15,3 % du volume de spams envoyés, occupe la première position de ce classement, soit une progression de 2,2 % par rapport au mois dernier. La Russie occupent la deuxième position : la part de messages non sollicités envoyés depuis ce pays a atteint 5,6 % (1,4 % de moins qu’en juin). La Chine ferme le trio de tête, avec 5,3 % du courrier indésirable mondial. Elle enregistre une baisse de 0,3 % par rapport au mois précédent.

L’Argentine occupe la 4e position (4,2 %). Son résultat n’a pratiquement pas changé en un mois, mais elle progresse malgré tout d’une place vers le haut. L’Ukraine progresse de 0,9 % et occupe la 5e position avec 4,1 %.

On observe une réduction de 1,8 % de courrier indésirable envoyé depuis le Viet Nam (3,5 %). Ceci explique la chute de ce pays de la 4e à la 8e position.

La France referme le Top 10 avec 2,63 % et remplace l’Inde qui recule en 11e position (2,59 %).

Pièces jointes malveillantes dans le courrier

Voici le Top 10 des programmes malveillants diffusés par email obtenu au mois de juillet.

Top 10 des programmes malveillants diffusés par email

Ce mois-ci, c’est Trojan.Win32.Yakes.fize, un cheval de Troie de type Dofoil, qui occupe la première position. Ce programme malveillant télécharge et exécute un fichier sur l’ordinateur de la victime, vole diverses informations de l’utilisateur (principalement, les mots de passe) et les envoie aux individus malintentionnés.

Nous retrouvons en deuxième position Trojan-Spy.HTML.Fraud.gen qui a dominé pendant de nombreux mois le classement des programmes malveillants les plus diffusés par email. Pour rappel, Trojan-Spy.HTML.Fraud.gen se présente sous la forme d’une fausse page HTML diffusée dans un message électronique contenant une prétendue notification importante émanant d’une banque, d’un magasin en ligne, d’un éditeur de logiciel, etc.

Trojan.JS.Redirector.adf occupe la 3e position en juillet. Il s’agit d’une page HTML qui contient un code qui redirige l’utilisateur vers le site de l’individu malintentionné. Une fois arrivé sur ce site, l’utilisateur est invité à télécharger Binbot, un service de transactions automatiques en options binaires, très populaires actuellement sur Internet. Ce programme malveillant se propage via des pièces jointes dans des messages.š

Vient ensuite le programme malveillant Backdoor.Win32.Androm.enji, une version du module universel du bot Andromeda (connu également sous le nom de Gamarue) qui permet de construire un réseau de zombies dotés des possibilités les plus diverses. Les fonctionnalités du bot sont enrichies à l’aide d’un système de plug-ins que les individus malintentionnés chargent en quantité requise à n’importe quel moment.

Trojan-Banker.Win32.ChePro.ink occupe la 5e position. Ce programme de téléchargement se présente sous la forme d’un applet CPL (composant de panneau de configuration) qui va télécharger des chevaux de Troie développés pour voler des informations financières confidentielles. Dans la majorité des cas, les programmes malveillants de ce type visent des banques établies au Brésil et au Portugal.

En 8e position, nous trouvons Trojan-Ransom.Win32.Cryptodef.ny, un programme malveillant capable de chiffrer les fichiers sur l’ordinateur de l’utilisateur, puis de verrouiller l’écran avant d’afficher un message qui invite l’utilisateur à payer une rançon pour récupérer ses fichiers.

Trojan.Win32.Bublik.cran se trouve en 10e position. Le programme malveillant Bublik est un cheval de Troie de téléchargement des plus traditionnels : il se contente de télécharger, puis d’exécuter un fichier malveillant sur l’ordinateur de l’utilisateur.

Répartition des déclenchements de l’antivirus protégeant les emails par pays

Le trio de tête de juillet reste inchangé : Allemagne (11,7 %, soit en recul de 4,71 % par rapport à juin), Etats-Unis (9,82 %, +0,28 %), Grande-Bretagne (6,9 %, +0,10 %).

L’Inde (5,16 %) dépasse le Brésil (3,94 %) et arrive en 4e position après une progression de 0,54 %. L’Italie arrive en 5e position (+1,2 %). Ce pays progresse de deux positions en un mois.

La Russie (3,4 %) a progressé de 1,37 % et passe de la 13e à la 8e position.

On remarque également une réduction de la part de déclenchements de l’antivirus protégeant les emails par pays aux Emirats arabes unis : le pays recule de 6 places de et 1,09 %.

La Pologne figure dans le Top 20 du mois de juillet en 19e position avec 1,42 % de l’ensemble des déclenchement de l’antivirus protégeant les emails.

Les indices des autres pays sont restés pratiquement inchangés au mois de juillet.

Particularités du courrier indésirable malveillant

Nous avons observé en juillet une augmentation du nombre de fausses notifications en portugais envoyées au nom de l’application de messagerie pour téléphone portable WhatsApp.

L’une d’entre elles évoquait une violation des conditions de l’utilisation et l’éventuel blocage du compte. D’après le texte de la notification, les violations concernaient des utilisateurs qui avaient reçu du propriétaire de ce compte du contenu interdit (photo ou vidéo). Les auteurs du message signalaient qu’en cas de violation des conditions d’utilisation, ils étaient en droit de suspendre le compte de l’utilisateur contrevenant (de 5 à 90 jours) jusqu’à ce que le numéro d’identification international de l’appareil à l’origine de l’envoi du contenu illégal ait été déterminé. À la fin du message, l’utilisateur était invité à lire les conditions d’utilisation de l’application en cliquant sur un bouton. Cette action entraînait le téléchargement sur l’ordinateur de la victime de Trojan-Downloader.Win32.Genome.a qui est un programme de téléchargement présenté sous la forme d’un applet .cpl (composant de panneau d’administration). Ce programme malveillant téléchargeait ensuite un cheval de Troie bancaire depuis un lien défini par les individus malintentionnés. Il s’agissait d’une variante de Trojan-Banker.Win32.ChePro. De plus, le cheval de Troie bancaire pouvait charger le virus Virus.Win32.Hidrag.a (infection des fichiers exécutables) dans le système de l’utilisateur .

D’autres fausses notifications signalaient qu’après plusieurs mois de développement, l’application WhatsApp était désormais disponible en version pour ordinateur. Pour convaincre le destinataire, le message signalait également que 11 utilisateurs avaient déjà envoyé une demande d’ajout de contact au destinataire du message. Pour connaître le nom de ces personnes, il fallait télécharger la toute nouvelle version du client de messagerie pour ordinateurs via le lien proposé. Kaspersky Lab observe ce type de message sous différentes formes depuis le début de l’année 2014.

Comme dans les cas antérieurs, l’utilisateur téléchargeait non pas l’application promise, mais bien une archive ZIP contenant un programme malveillant. Dans ce cas, il s’agissait du dropper Trojan-Dropper.Win32.Dapato.egel. Sa fonction consiste à établir une connexion avec un hôte brésilien distant dans le but de télécharger et d’exécuter un cheval de Troie bancaire conçu pour voler les informations financières de cet utilisateur. Ce dropper se copie également dans С:Documents and SettingsAdministratorLocal SettingsApplication Data sous le nom BaRbEcuE.exe. Il y crée un fichier sous le nom windataup.inf dans lequel il consigne la date actuelle, puis s’écrit dans la secteur de démarrage automatique.

Phishing

Sur l’ensemble du mois de juillet, le système Anti-Phishing s’est déclenché 20 157 877 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab.

La tendance du dernier trimestre se maintient : ce sont les utilisateurs au Brésil qui ont été le plus souvent attaqués L’Anti-Phishing s’est déclenché au moins une fois au cours du mois de juillet sur les ordinateurs de 18,17 % des utilisateurs brésiliens. L’activité des escrocs au Brésil est probablement liée à la Coupe du monde de football.

Géographie des attaques de phishing*, juillet 2014

*Pourcentage d’utilisateurs sur les ordinateur desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays

Top 10 des pays par pourcentage d’utilisateurs attaqués :

  Pays % d’utilisateurs
1 Brésil 18,17
2 Inde 12,99
3 Australie 11,10
4 France 10,73
5 Kazakhstan 10,62
6 Royaume-Uni 10,15
7 Emirats arabes unis 10,14
8 République dominicaine 10,11
9 Canada 9,61
10 Ukraine 9,53

Organisations victimes du phishing

Les statistiques relatives aux cibles des auteurs d’attaques de phishing reposent sur les déclenchements du module heuristique de l’Anti-Phishing. Le module heuristique du système Anti-Phishing se déclenche lorsque l’utilisateur clique sur un lien qui mène à une page de phishing et que les bases de Kaspersky Lab ne contiennent pas d’informations sur cette page. Peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou encoure, suite à l’action d’un programme malveillant. Après le déclenchement du module, un message relatif à la menace potentielle s’affiche dans le navigateur.

Pour les rapports précédents, notre analyse des cibles du phishing reposait sur le Top 100 des organisations attaquées. Pour ce mois, nous allons analyser les statistiques pour l’ensemble des organisations attaquées.

A l’issue du mois de juillet le classement des organisations exploitées dans les attaques de phishing est toujours dominé par les portails de messagerie et de recherche (29,49 %), et ce malgré un recul de 2,67 %. La part d’attaques de phishing contre les réseaux sociaux a diminué de 3,2 % (14,61 %).

Répartition des organisations victimes d’attaque de phishing, par catégorie
juillet 2014

À titre de comparaison, nous fournissons les mêmes données pour le mois antérieur :

Répartition des organisations victimes d’attaque de phishing, par catégorie
juin 2014

Le phishing financier a constitué dans l’ensemble 41,85 % des déclenchements du module heuristique du système Anti-Phishing, soit une progression de 7,86 % par rapport au mois dernier. La part de déclenchements des catégories "Banques" (+2,25 %), "Magasins en ligne" (+2,64 %) et "Systèmes de paiement" (+2,97 %) a augmenté. Parmi les systèmes de paiement, la hausse la plus significative est à mettre au compte de PayPal (3,24 % de l’ensemble des détections) : son indice a progressé de 2,27 % en juillet.

Nous avons vu un exemple intéressant de phishing impliquant PayPal à la fin du mois de juillet. Ces messages d’escroquerie signalaient au destinataire qu’il avait reçu de l’argent de l’utilisateur de Craiglist (probablement une erreur dans le nom du site d’annonces en ligne Craigslist), mais qu’il était impossible de transférer l’argent en raison d’erreurs dans le compte utilisateur.

Le message provenait d’une adresse qui n’appartenait pas à PayPal et n’était pas personnalisé, ce qui en général indique qu’il s’agit d’un message de phishing

Pour résoudre le problème, l’utilisateur devait télécharge sur le champ le formulaire joint au message, l’ouvrir et le remplir.

Le formulaire respectait le style et le graphisme des sites associés à PayPal

Les individus malintentionnés utilisaient ce formulaire de phishing afin d’obtenir des informations confidentielles comme l’adresse de messagerie électronique et le mot de passe de l’utilisateur, son nom complet, sa date de naissance, son nom de jeune fille, son adresse, le numéro de carte de crédit, sa durée de validité, le code CVV ainsi que le mot de passe des services Verified by Visa ou MasterCad SecureCode. Ce volume d’informations personnelles offre aux escrocs une multitude de possibilités de voler les économies électroniques de la victime.

L’examen du code HTML montre que toutes les données saisies dans le formulaire sont envoyées à une page qui n’a absolument aucun rapport avec PayPal.

Top 3 des organisations attaquées

  Organisation % de déclenchements
1 Google Inc 11,64%
2 Facebook 9,64%
3 Windows Live 6,28%

En juillet 2014, la première position est revenue aux liens de phishing vers de fausses pages des services Google. Ils ont représentés 11,64 % de l’ensemble des détections du module heuristique de l’Anti-Phishing.

On observe une hausse sensible par rapport à juin des attaques de phishing contre Windows Live, le portail global de services de Microsoft (dont Outlook). L’intérêt des escrocs pour cette ressource s’explique principalement par la popularité des services de MS et par le fait que l’accès s’obtient via un compte unique. Les pages de phishing adoptent en général le style de la page d’ouverture de session d’Outlook (c’est aussi le style actuel de la page d’accès à live.com).

Exemple de page de phishing qui imite la page d’accès au service Outlook

Un élément intéressant est l’utilisation par de nombreuses pages de phishing récentes du style Hotmail, bien qu’Outlook ait remplacé ce service au début de l’année 2012. Toutefois, l’existence de telles pages de phishing et les déclenchements qu’elles provoquent démontrent que cela ne semble pas perturber les utilisateurs.

Exemple de phishing contre live.com à l’aide d’une page dans le style « Hotmail »

Conclusion

La part du courrier indésirable dans le trafic de messagerie en Juillet a augmenté de 2,2 % pour atteindre 67%.

Dans le cadre des diffusions de messages non sollicités faisant la publicité de services de diffusion de messages par SMS et courrier électroniques, les auteurs ont fait référence à la fête du ramadan et les nouveaux clients potentiels étaient attirés à l’aide de remises et d’offres spéciales šdiverses. Les auteurs d’escroquerie « à la nigériane » ont envoyé des messages sollicitant de l’aide pour des investissements non seulement en anglais, mais également en arabe. Le trafic de courrier indésirable contenait également des offres pour des produits et des services cosmétiques.

Les pays qui dominent la diffusion de messages non sollicités à travers le monde en juillet sont les suivants : Etats-Unis (15,3 %), Russie (5,6 %) et Chine (5,3 %).

Sur l’ensemble du mois de juillet, le système Anti-Phishing s’est déclenché 20 157 877 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab. 18,7 % de ces déclenchements ont touché des utilisateurs au Brésil. Les portails de recherche et de messagerie dominent le classement des organisations exploitées par les auteurs d’attaques de phishing (29,5 %). L’indice du phishing financier a augmenté de 7,9 % pour atteindre 41,8 %.

Trojan.Win32.Yakes.fize domine le classement des pièces jointes malveillantes en juillet 2014. L’Allemagne occupe une nouvelle fois la tête du classement du mois de juillet pour les déclenchements de l’antivirus protégeant les emails (11,7%).

Un volume important de pièces jointes malveillantes se dissimulait sous les traits de fausses notifications en portugais prétendument envoyées par le service de messagerie pour smartphone WhatsApp et visant à voler les informations financières de clients de banques brésiliennes et portugaises.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *