Courrier indésirable en juin 2013

Juin en chiffres

  • La part du courrier indésirable dans le trafic de messagerie en juin a augmenté de 1,4š% pour atteindre 71,1š%.
  • Par rapport au mois de mai, la part de messages de phishing dans le trafic de messagerie a légèrement augmenté et représente 0,0032š%.
  • 1,8% des messages électroniques contenaient des fichiers malveillants, soit 1% de moins que le mois passé.

Particularités du mois

Au moins de juin, les diffuseurs de courrier indésirable ont été particulièrement actifs dans la diffusion de publicités de biens et de services dont la demande augmente pendant les vacances d’été. Par exemple, vu que le mois de juin correspond à la période des examens dans l’enseignement primaire et secondaire, de nombreux messages proposaient des diplômes, des attestations et des certificats en tout genre. Nous avons également observé des cas de courrier indésirable en rapport avec la fête des pères.

MBA avec des célébrités

Nous savons tous que les diffuseurs de courrier indésirable aiment utiliser les noms de personnalités pour capter l’attention des destinataires, surtout dans le cadre des escroqueries à la nigériane.š Mais en juin 2013, nous avons identifié quelques diffusions dont les auteurs avaient décidé d’utiliser les noms de personnalités d’une autre manière, à savoir pour promouvoir des formations et des MBA.

Par exemple, ils ont cité le nom de Steve Jobs, le fondateur d’Apple. L’en-tête du message non sollicité proposait au destinataire de découvrir le secret de cet entrepreneur qui avait réussi, mais le corps du message contenait simplement une annonce pour une formation gratuite. Les organisateurs promettaient d’apprendre à n’importe qui en 1h30 à concilier une activité professionnelle prospère et les loisirs. Le nom de Steve Jobs était seulement utilisé pour attirer l’attention du destinataire sur la formation.

 

iPhone dans le courrier indésirable

L’immense popularité des smartphones et des tablettes d’Apple auprès du grand public à travers le monde a entraîné une véritable explosion du nombre de sociétés spécialisée dans la vente d’accessoires pour les produits d’Apple et d’appareils officiels à un prix douteux. Pour bon nombre de ces sociétés, le courrier indésirable est un mode de publicité séduisant et en juin 2013, nous avons identifié quelques diffusions à ce sujet.

En juin, nous avons détecté de nombreux messages proposant d’acheter des appareils d’Apple avec d’énormes remises. Afin de conférer une certaine légitimité à ces messages, les diffuseurs de courrier indésirable avaient placé le nom de la société dans le champ « De » alors que l’adresse de l’expéditeur n’avait en réalité aucun rapport avec Apple. Les auteurs de ces messages insistaient sur le fait que le nombre d’appareils disponibles était limité, tout comme la durée de l’offre. Cette astuce est souvent utilisée pour que l’utilisateur ne se pose pas de question et clique directement sur le lien pour commander l’article.

 

Les diffuseurs de messages non sollicités proposaient, en plus des produits Apple, des formations en rapport avec ces produits. Nous avons recensé une diffusion faisant la publicité d’un séminaire en ligne sur la création de vidéos sur l’iPad et l’iPhone. Les auteurs garantissaient au destinataire qu’il allait non seulement apprendre à créer des vidéos originales de qualité, mais qu’il allait pouvoir recevoir un revenu complémentaire grâce à ces nouvelles connaissances.

 

Les diffuseurs de courrier indésirable au service de l’éducation

L’été n’est pas seulement la période des vacances. C’est également la période des examens de fin d’année dans les écoles et des examens d’admission dans les écoles d’enseignement supérieur. Au mois de juin, nous avons observé une augmentation sensible du nombre de messages non sollicités proposant de faux diplômes ou attestations de formation supérieure. Les adresses des destinataires de ces messages provenaient souvent de sources libres, de diverses bases de données ou étaient générées automatiquementš à l’aide d’un dictionnaire électronique.

Nous avons également détecté des diffusions de messages proposant des inscriptions dans des instituts d’enseignement supérieur aux Etats-Unis ou des programmes de formation à distance selon n’importe quel horaire. Ces messages contenaient souvent des liens vers un formulaire en ligne de demande d’inscription à la formation. Il est intéressant de constater que les adresses de ces pages changent de message en message et bien souvent, elles sont créées le jour même de la diffusion. Il se peut que les diffuseurs de ces messages cherchent à obtenir les données personnelles des utilisateurs. Nous avons également reçus des messages proposant de recevoir un diplôme ou un certificat d’enseignement sans suivre aucune formation.š

 

Les cours de rattrapage sont les autres types de service de formation promu via le courrier indésirable. Les commanditaires de ces campagnes peuvent être des individus ou des centres spécialisés dotés d’un personnel qualifié pour aider les écoliers à maîtriser tel ou tel sujet, améliorer leurs notes et réussir.

 

Cigares pour la fête

Comme nous nous y attendions, les diffuseurs de courrier indésirable au mois de juin ont proposé des publicités en rapport avec la fête des Pères, célébrée au milieu du mois aux Etats-Unis. Alors que l’année dernière, ce genre de messages vantait les mérites des montres de luxe de contre-façon, cette année sont les les cigares qui ont eut la cote. Cela fait déjà quelques mois que nous observons ces messages rédigés selon un modèle. Seules les images et la couleur des signatures changent. Le reste des éléments est identiqueš:

 

Méthodes et astuces

En juin, les diffuseurs de messages non sollicités ont privilégié des astuces bien connues mais toujours très populaires. Citons en particulier quelques publicités pour des cigarettes (normales ou électroniques) dans le cadre desquelles les auteurs ont recouru aux services de Google Translate afin de déjouer le traitement des liens non sollicités. Les auteurs de ces messages ont également ajouté à la fin du lien une séquence aléatoire de lettres et les noms de plusieurs domaines de Google en plusieurs langues. L’adresse pour l’envoi des commentaires utilisée dans le message est une adresse créée sur un service de messagerie en ligne gratuitš: les auteurs des messages créent une multitude d’adresses et les remplacent en permanence dans les messages afin de compliquer la tâche des filtres antispam.

 

Les auteurs de messages non sollicités ont également beaucoup utilisé la méthode qui consiste à brouiller le texte. Ainsi, dans le cas des messages non sollicités liés à des formations, les auteurs ont introduit dans les phrases des séquences de caractères aléatoires. Le message devenait plus difficile à lire, mais les éléments clés comme le nom de la formation, l’université ou la faculté qui l’organisait ainsi que le coût et les coordonnées étaient facilement identifiables pour le lecteur.

 

De leur côté, les auteurs des messages proposant des produits Apple à des prix plancher ont utilisé une autre astuce connue. Afin de brouiller le lien et de déjouer les filtres antispam, ils ont ajouté au texte des informations authentiques sur Apple et un lien vers un site de l’agence de presse.

Nous avons observé dans des messages non sollicités assurant la promotion de vacances en Russie et à l’étranger l’utilisation conjointe de caractères latins et cyrilliques dans un même mot. Les auteurs d’annonces immobilières ont utilisé la même tactiqueš: une partie des chiffres dans le texte avait été remplacée par des lettres semblables. Les espaces étaient ignorés et des caractères complémentaires étaient ajoutés.

Répartition géographique des sources de courrier indésirable

A l’issue du mois de juin, il n’y a aucune modification dans le trio de tête des pays sources de courrier indésirable diffusé à travers le monde. Ceci étant dit, la part de messages non sollicités envoyés depuis chaque pays a augmenté. La Chine occupe la première position, avec 23,9% du courrier indésirable envoyé, soit 2,5š% de plus que le mois dernier.

 
Pays, source de courrier indésirable

Les Etats-Unis occupent la deuxième position avec 17,2š%, soit une progression de 0,9š% par rapport aux chiffres du mois de mai. La Corée du Sud referme le trio de têteš: le volume de courrier indésirable envoyé depuis ce pays a continué sa croissance en juin pour atteindre 14,5š%.

Taiwan conserve la 4e position (5,8š%). Son résultat est pratiquement inchangé. Le Viet Nam (3,3š%) a quant à lui quitté le Top 5š: la part de courrier indésirable en provenance de ce pays a reculé de 1,7š%, ce qui le place en 6 position. L’Ukraine (3,7%) occupe la 5e position.

La Biélorussie (2,8š%) et le Kazakhstan (2,7š%) occupent respectivement la 7e et 8e position. Au cours du mois de juin, nous avons observé une légère réduction des flux de messages non sollicités en provenance de ces deux pays, soit un recul de 0,6š% pour la Biélorussie et de 1,6š% pour le Kazakhstan.

L’indice de la Russie (2,1%) a reculé de 0,1š%, ce qui place le pays en 11e position. Notons également que la part de messages non sollicités envoyés depuis l’Italie a augmenté de 1š% (2,1š%).

 
Pays, source de courrier indésirable en Europe

La Corée du Sud (55,3š%) demeure le leader incontesté parmi les sources de messages non sollicités diffusés en Europe. Ce mois-ci, l’indice de ce pays a enregistré une augmentation sensible de 9,6š%. Les Etats-Unis (4,6š%) et le Viet Nam (3,7š%) ont quitté le trio de tête et occupent respectivement la 4e et 5e place et ont été remplacés par l’Italie (6,7š%) et Taiwan (5š%). L’indice de l’Italie a augmenté de 3,9š% par rapport au mois de mai. Ce pays occupait alors la 7e position. L’Inde (2,2š%) a progressé en juin de la 12e à la 6e position.

L’Ukraine (1,9š%), la Chine (1,3š%) et le Japon (0,6š%) ont perdu quelques places. Ils occupent respectivement en juin la 8e, 12e et 16e position. La part de courrier indésirable en provenance de Russie a reculé de 1,1% pour atteindre 1%. Ce pays passe de la 10e à la 13e position. Le flux de messages non sollicités en provenance de Grande-Bretagne a également sensiblement diminué (0,5š%). Ce pays occupe la 20e position en juin, soit un recul de 6 places par rapport à mai.

 
Régions d’origine du courrier indésirable

L’Asie demeure la principale région source de courrier indésirable (57,3%), soit une progression de 1,2% par rapport au mois dernier. Le trio de tête compte, comme en avril, l’Amérique du Nord (18,7%) et l’Europe de l’Est (13,2%). La part de messages non sollicités en provenance d’Amérique du Nord a augmenté de 0,6š% alors que l’indice pour l’Europe de l’Est a diminué de 1,4š%.

Pièces jointes malveillantes dans le courrier

La part de pièces jointes malveillantes dans le courrier au mois de juin a diminué de 1š% et représentait 1,8š% du trafic de messagerie.

 
Top 10 des programmes malveillants diffusés par courrier électronique

Trojan-Spy.HTML.Fraud.gen occupe une fois de plus la tête du classement des programmes malveillants diffusés par courrier. Ce programme se présente sous la forme d’une page de phishing pour la saisie de données qui sont envoyées directement aux individus malintentionnés.

Le programme malveillant Email-Worm.Win32.Bagle.gt est en deuxième position. Ce ver se propage à toutes les adresses de messagerie électronique récoltées sur l’ordinateur infecté. Il peut également télécharger des fichiers depuis Internet à l’insu de l’utilisateur.

Le programme Email-Worm.Win32.Mydoom.I referme le trio de tête du mois de juin. A l’instar des autres vers, il recherche les adresses de messagerie électronique sur l’ordinateur infecté, puis se propage sous la forme d’une pièce jointe (fichiers portant l’extension .doc, .htm, .html et .txt). L’adresse de l’expéditeur authentique se dissimule derrière une des adresses trouvées sur l’ordinateur.

Un autre représentant de la famille de vers Mydoom (Mydoom.m) se trouve en 6e position.š Outre la multiplication, ce ver vise à envoyer des requêtes de recherche masquées à des moteurs de recherche tels que Google, Yahoo, Altavista ou Lycos. Le ver compare ensuite les adresses des sites sur la première page des résultats de la recherche à la liste d’adresses qu’il a téléchargée sur les serveurs des individus malintentionnés. Dès qu’il trouve une équivalence, le ver ouvre le lien sur la page du moteur de recherche afin d’augmenter le nombre de visites et d’améliorer ainsi le classement du site dans les résultats.

Trojan-Dropper.Win32.Dorifel.aewv occupe la 4e position. La tâche principale de ce cheval de Troie est d’exécuter des commandes du serveur distant, de télécharger et d’exécuter d’autres programmes malveillants.

Un représentant de la famille ZeuS/Zbot, à savoir Trojan-Spy.Win32.Zbot.Ibda, referme le Top 5. Ce cheval de Troie cherche à voler différents types d’informations confidentielles sur les ordinateurs des victimes, dont les données des cartes de crédit. Au cours de ce mois, nous avons détecté plus de 1š300 modifications du cheval de Troie de la famille Zeus/Zbot. Ils représentent près de 7š% de l’ensemble des programmes malveillants dans le courrier.

Un logiciel espion de la famille Tepfer très répandu se retrouve également dans le Top 10.

 
Répartition des déclenchements de l’Antivirus Courrier par pays

La Russie occupe la première place du classement des déclenchements de l’Antivirus Courrier avec 29,4š% des déclenchements. Soit 13 fois plus que le mois dernier quand la Russie ne comptabilisait que 2,2š% des déclenchements. Cette hausse sensible est liée à l’augmentation du nombre de messages infectés par des vers, dont šNet-Worm.Win32.Kido.ih, Worm.Win32.AutoRun.dtbv et IM-Worm.Win32.Sohanad.bm.

Les Etats-Unis, leader du mois dernier, se retrouvent en 2e position. Par rapport au mois de mai, leur part a diminué de 4,7š% pour atteindre 9,6š%. L’Allemagne (7,9š%) occupe la 3e position, en recul de 1,6š%. L’Inde (5,9š%) et l’Australie (4,9š%) occupent respectivement la 4e et 5e position.

Le volume de déclenchements de l’Antivirus Courrier en Grande-Bretagne a reculé de 2,7š% pour atteindre (3,3š%), ce qui confère la 8e position à ce pays. L’Italie (2,4š%) occupe la 9e position. Son indice a reculé de 2,8š% par rapport à celui du mois de mai.š

La Chine (1,7š%) prend la dixième position qu’occupait le Canada le mois dernier.

Particularités du courrier indésirable malveillant

Nous avons enregistré une diffusion malveillante massive en juinš: les diffuseurs de courrier indésirable visaient des organisations qui coopéraient avec la société américaine LexisNexis spécialisée dans l’accès en ligne à différentes bases de données. Le faux message qui semblait provenir à première vue de l’adresse légitime einvoice.notification@lexisnexis.com signalait qu’une facture avait été générée pour les services prestés par LexisNexis. Afin de voir les détails de la facture et de réaliser le paiement, il fallait ouvrir la pièce jointe et imprimer le fichier PDF. Mais l’archive LexisNexis_Invoice_06212013.zip contenait en réalité le cheval de Troie Tepfer spécialisé dans le vol d’informations d’identification.

 

Il faut signaler que les escrocs ont déployé des efforts considérables pour donner un aspect officiel au messageš: il utilisait le style graphique et les coordonnées correctes de la société LexisNexis. Toutefois, à y regarder de plus près, le message invitait l’utilisateur, dans trois phrases différentes, à ouvrir la pièce jointe, ce qui devrait susciter la méfiance.

Phishing

Au mois de juin, la part des messages de phishing dans le courrier n’a que très peu augmenté et représentait 0,0032š%.

 
Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

A l’issue du mois de juin, les réseaux sociaux occupent toujours la première place dans le classement des organisations ciblées par les auteurs d’attaques de phishing, même s’ils sont en recul de 4,6š% pour atteindre 31,3š%.

Tout comme au mois de mai, les moteurs de recherche (15,6š%) et les organisations financières et de paiement (14,3š%) occupent respectivement la 2e et la 3e position. Le mois dernier, leurs indices étaient pratiquement similaires. Ce mois-ci, la part des moteurs de recherche a augmenté de 0,61š% tandis que la part des organisations financières et de paiement a quant à elle perdu 0,61š%.

Les services de messagerie arrivent en 4e position. Leur indice a été presque triplé et représentait 13,2š% à la fin du mois de juin. Les vendeurs de technologies de l’information reculent en 5e position (9,5š%). Les opérateurs de téléphonie mobile et les FAI (8,2š%) conservent leur 6e position, tandis que les magasins en ligne (5,7š%) reculent de deux positions et se retrouvent en 7e place en juin.

Nous avons observé au mois de juin plusieurs diffusions de faux messages au nom du célèbre service de paiement électronique PayPal. Un de ces messages signalait que le système avait détecté des paiements douteux réalisés avec la carte de l’utilisateur associée au compte et que pour cette raison, l’accès au compte avait été suspendu. Pour rétablir l’accès au compte électronique, l’utilisateur devait ouvrir le fichier contenu dans l’archive AccountVerification.zip en pièce jointe. Le fichier Verify Account.html contenu dans l’archive s’ouvre dans le navigateur. Il s’agit d’une fausse page de mise à jour du profil de PayPal. D’après le plan des escrocs, l’utilisateur devait saisir sur cette page les données de la carte de crédit, les données du compte PayPal et d’autres informations personnelles. Ces informations se retrouvaient ensuite entre les mains des escrocs. Les escrocs obtenaient ainsi non seulement l’accès au compte PayPal de la victime, mais également les données de sa carte bancaire.

 

Conclusion

Au début de l’été, le volume de messages non sollicités consacrés aux formations a augmenté conformément aux prévisions. De plus, les diffuseurs de messages non sollicités ont continué à utiliser des noms de célébrités pour promouvoir des biens et des services. Les diffuseurs de messages non sollicités ont également exploité l’intérêt marqué pour les produits Apple afin de promouvoir des accessoires et d’annoncer des remises de prix sur des gadgets électroniques connus.

En juin, plus de la moitié du courrier indésirable en circulation à travers le monde provenait une fois de plus de trois paysš: la Chine, les Etats-Unis et la Corée du Sud. La part de chacun de ces pays poursuit son augmentation. Le leader des pays source du courrier indésirable diffusé en Europeš demeure la Corée du Sud, suivie par l’Italie et Taiwan, respectivement en 2e et 3e position. Ils ont remplacé les Etats-Unis et le Viet Nam qui occupent désormais la 4e et 5e position.

Contrairement aux prévisions, le volume d’attaques de phishing contre les réseaux sociaux en juin a reculé, mais ils conservent malgré tout leur première position. Par contre, le volume des attaques contre les messageries électroniques et les services de messagerie instantanée a sensiblement augmenté. Ceci peut s’expliquer par l’augmentation du nombre d’utilisateurs de ces services et de programmes tels que ICQ, Jabber, Skype (etc.) pendant les vacances d’été. Il faut dire également que la demande pour ces comptes est très forte sur le marché noir, ce qui motive les actions des auteurs d’attaques de phishing.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *