Courrier indésirable en mai 2013

Mai en chiffres

  • La part du courrier indésirable dans le trafic de messagerie en mai a diminué de 2,5 % pour atteindre 69,7 %.
  • Par rapport au mois d’avril, la part de messages de phishing dans le trafic de messagerie n’a pratiquement pas changé et représente 0,0024 %.
  • 2,8 % des messages électroniques contenaient des fichiers malveillants, soit 0,4 % de de plus que le mois passé.

Particularités du mois

Au cours du mois d’avril, les diffuseurs de courrier indésirable ont vraiment démontré leur créativité. Dans les diffusions de publicité et d’escroquerie, ils ont beaucoup utilisé les noms de personnalités ou de sociétés connues. Le nombre de messages non sollicités en rapport avec des fêtes a diminué, mais nous avons malgré tout recensé des diffusions qui faisaient allusion aux fêtes du mois (fêtes des Mères et Memorial Day aux Etats-Unis).

Microsoft pris pour cible par les spammeurs

En mai, les diffuseurs de courrier indésirable ont organisé un envoi de messages de phishing au nom du service d’assistance à la clientèle de Microsoft. Le message, en provenance d’une adresse microsoft.com qui semblait à première vue parfaitement légitime, signalait que l’activité du compte utilisateur "Microsoft Window" allait être suspendue en raison du non-renouvellement de l’enregistrement malgré les recommandations envoyées dans les messages antérieurs. Pour éviter le blocage, le destinataire devait cliquer immédiatement sur le lien indiqué dans le message. L’utilisateur qui mordait à l’hameçon se retrouvait sur une page d’escroquerie par phishing créée spécialement pour voler des informations.

 

Un examen attentif du message permet de voir que le système d’exploitation est écrit sous la forme Microsoft Window (sans le "s" à la fin). De plus, le signe "=" est utilisé en tant que séparateur dans le message, il n’y a pas de lien vers le site officiel de la société et les coordonnées du service d’assistance, ce qui n’est pas possible dans un message légitime.

Nous avons également obtenu des messages d’escroquerie relatifs à des gains dans une loterie inexistante qui aurait été organisée par la société Microsoft. Le vainqueur de la loterie était bien entendu le destinataire du message.

 

Dans certains de ces messages, les escrocs annonçaient que le destinataire avait remporté le gros lot et qu’il devait les contacter pour obtenir des détails. Dans d’autres, les auteurs signalaient au destinataire qu’il avait remporté le gros lot et lui demandaient de transférer une modeste somme d’argent pour couvrir les différentes dépenses liées à la remise du prix.

Courrier indésirable de fête du mois de mai

En mai, les diffuseurs de courrier indésirable ont continué à exploiter le thème du Memorial Day, jour férié aux Etats-Unis qui tombe le dernier lundi du mois mai, afin de diffuser des publicités de fleurs, de bonbons et de montres de contre-façon de luxe. Signalons que Memorial Day est la deuxième fête la plus populaire après la Saint-Valentin et dans les jours qui la précèdent, le nombre de messages de partenariats de fleuristes augmente sensiblement. La majorité de ces envois suit un modèle défini. Seuls les images et le nom de la fête qui inspire la diffusion changent.

 

Le dernier lundi du mois de mai, les habitants des Etats-Unis célèbrent le Memorial Day, une fête nationale dédiée à la mémoire des soldats morts au combat. Cette année, des allusions à ce jour férié ont été recensées dans des messages faisant la publicité de soldes chez des concessionnaires de véhicules en ligne. Il faut indiquer que ces campagnes de diffusion de messages non sollicités, qui ont l’air inoffensif à première vue, peuvent viser à récolter des informations personnelles, notamment les informations requise pour réaliser des paiements bancaires. Nous avons de plus enregistré une diffusion d’une offre d’achats de mentions "J’aime" sur Facebook, consacrée également au Memorial Day.

 

Répartition géographique des sources de courrier indésirable

A l’issue du mois de mai, il n’y a aucune modification dans le trio de tête des pays sources de courrier indésirable diffusé à travers le monde. La Chine occupe toujours la première position, avec 21,4 % du courrier indésirable envoyé, soit 2,5 % de moins que le mois dernier.

 
Pays, source de courrier indésirable

Les Etats-Unis occupent la deuxième position avec 16,3 % du courrier indésirable mondial. La Corée du Sud referme le trio de tête : le volume de courrier indésirable envoyé depuis ce pays a continué sa croissance en mai pour atteindre 12 %. Globalement, ces trois pays représentent près de la moitié de l’ensemble du courrier indésirable mondial.

Taïwan (5,9%) et le Viet Nam (5 %) conservent leur position dans le Top 5. L’Ukraine se trouve en 6e position avec une part de courrier indésirable équivalente à 4,8 %. Le Kazakhstan (4,3 %) progresse d’une place par rapport à sa 8e position du mois d’avril avec une augmentation de près de un pour cent. L’indice de la Russie (2,2 %) a reculé de 1,1 %, ce qui place le pays en 10e position.

Il faut également signaler que le volume de courrier indésirable envoyé depuis le Canada (1,8 %) a augmenté de 1 %, ce qui se traduit par une progression de la 20e à la 11e place dans le classement.

 
Pays, source de courrier indésirable en Europe

A l’issue du mois de mai, le leader de la diffusion de courrier indésirable vers Europe demeure la Corée du Sud (45,7 %), en progression de 2,3 %. Les Etats-Unis occupent la deuxième position avec 5,8 %, soit 0,9 % de moins que le mois dernier. Le Viet Nam (5,8 %), dont la part de courrier indésirable a augmenté de 0,6 %, referme le trio de tête.

Le volume de courrier indésirable envoyé depuis la Chine a reculé de 1,1 %, ce qui se traduit par un recul de la 5e à la 8e position. La part de courrier indésirable en provenance d’Allemagne n’a pas changé et se maintient à 1,2 %, toutefois en raison des modifications dans les flux de courrier indésirable d’autres pays, l’Allemagne passe de la 13e à la 16e position.

 
Régions d’origine du courrier indésirable

L’Asie demeure la principale région source de courrier indésirable (56,1 %), soit une progression de 0,4 % par rapport au mois dernier. Le trio de tête compte , comme en avril, l’Amérique du Nord (18,1 %) et l’Europe de l’Est (14,6 %).

Pièces jointes malveillantes dans le courrier

La part de pièces jointes malveillantes dans le courrier au mois de mai a diminué de 0,4 % et représentait 2,8 % du trafic de messagerie.

 
Top 10 des programmes malveillants diffusés par courrier électronique

Trojan-Spy.HTML.Fraud.gen occupe une fois de plus la tête du classement des programmes malveillants diffusés par courrier. Ce programme se présente sous la forme d’une page de phishing pour la saisie de données qui sont envoyées directement aux individus malintentionnés.

Des programmes de la famille ZeuS/Zbot occupent la 2e et la 3e position (ainsi que la 8e et la 9e). Cela faisait longtemps que ce cheval de Troie tristement célèbre n’avait plus occupé une telle position dans le classement, alors qu’il avait été très populaire en 2009-2010. Les programmes ZeuS/Zbot visent à voler différents types d’informations confidentielles sur les ordinateurs des victimes, dont les données des cartes de crédit. En mai, la part des chevaux de Troie de cette catégorie parmi les programmes malveillants diffusés par courrier représentait 26,2 %.

Il est intéressant de noter la 5e position d’Exploit.MSWord.Agent.di en mai. Les codes d’exploitation sont rarement diffusés via des pièces jointes. Leurs auteurs préfèrent ajouter des liens aux messages non sollicités qui renvoient les victimes vers des sites malveillants d’où les codes d’exploitation sont téléchargés à l’insu de la victime. Les auteurs d’Exploit.MSWord.Agent.di ont choisi une autre méthode : ils envoient un document Microsoft Word renfermant un code malveillant qui utilise la vulnérabilité CVE-2012-0158 pour infecter l’ordinateur.

La porte dérobée Worm.Win32.Luder.anmw qui fait son entrée dans le classement est destinée à administrer l’ordinateur de manière dissimulée. Le Top 10 reprend également la porte dérobée de la famille Androm et un cheval de Troie de la famille Tepfer connus depuis quelques mois.

 
Répartition des déclenchements de l’Antivirus Courrier par pays

Au mois de mai, les Etats-Unis ont conservé la première position selon le nombre de déclenchements de l’antivirus courrier. Par rapport au mois d’avril, leur part a augmenté de 1,8 % pour atteindre 14,2 %. Le résultat de l’Allemagne (9,5 %) a reculé de 1,2 %, ce qui n’empêche pas le pays de conserver sa deuxième position. La Grande-Bretagne complète le trio de tête avec 6,1 %.

La Chine et la Russie ont été remplacés dans le Top 10 par Hong Kong (2,9 %) et le Canada (2,5 %).

2,2 % de l’ensemble des déclenchements de l’Antivirus Courrier ont été recensés en Russie.

Particularités du courrier indésirable malveillant

La popularité des fausses notifications diffusées au nom de magasins en ligne connus est demeurée élevée au mois de mai. A l’approche de l’été, nous avons reçu des messages imitant une annonce officielle d’Amazon.  Les individus malintentionnés remerciaient le destinataire pour une commande inexistante et signalaient que la modification de la commande ou le suivi de celle-ci pouvait être réalisé via le site de la société ou en cliquant sur le lien repris dans le message. Ces liens menaient bel et bien vers le site officiel d’Amazon et non pas vers des sites de phishing ou vers des fichiers malveillants. Toutefois, le message signalait que la pièce jointe contenait des informations supplémentaires sur la commande. Cette information était mise en évidence en bleu afin que le destinataire puisse la voir facilement. A la différence de nombreux autres messages similaires, les diffuseurs ne menaçaient le destinataire d’annuler la commande en vue de l’amener à ouvrir la pièce jointe. Au contraire, ils fournissaient dans le message des informations sur les conditions d’annulation de la commande passée.

 

La pièce jointe Your Order Details with Amazon.zip contenait le fichier exécutable Your Order Details with Amazon.PDF.EXE détecté par Kaspersky Lab sous le nom Backdoor.Win32.Androm.gp. A l’issue du mois de mai, un des programmes malveillants de cette catégorie occupait la 7e position parmi les programmes malveillants les plus diffusés par courrier électronique alors qu’au mois d’avril, un programme de cette famille figurait dans le trio de tête. Une fois sur l’ordinateur de la victime, Backdoor.Win32.Androm peut, par exemple, charger discrètement d’autres programmes malveillants, envoyer différentes informations depuis l’ordinateur de l’utilisateur ou l’intégrer à un réseau de zombies.

Au mois de mai, les diffuseurs de courrier indésirable ont envoyé de fausses notifications au nom d’une société de logistique bien connue : nous avons capturé dans notre pièce des messages écrits par un prétendu représentant du service de courrier UPS. Ce message signalait que le service de courrier n’avait pas été en mesure de remettre le colis au destinataire en raison d’une erreur dans l’adresse de livraison et qu’il fallait venir le retirer dans les bureaux de la société. Et pour pouvoir contacter le bureau, il fallait imprimer le document en pièce jointe.

 

Au lieu du document promis, l’archive UPS_Label_23052013.zip contenait le fichier exécutable UPS_Label_23052013.exe, détecté par Kaspersky Lab sous le nom Trojan-PSW.Win32.Tepfer.kxdh. Au mois d’avril, un programme malveillant de cette famille avait occupé la 4e position dans le classement des programmes malveillants les plus diffusés par courrier indésirable. En mai, il occupait la 10e position. Ce cheval de Troie vole les mots de passe des clients FTP et des clients de messagerie ainsi que les informations d’identification saisies dans le navigateur. Pour convaincre le destinataire de la légitimité du message, ce dernier reprenait des informations sur le fait que ce message avait été envoyé depuis une adresse commune et qu’il ne fallait pas y répondre. Il mentionnait également la politique de confidentialité.

Nous avons détecté le cheval de Troie Tepfer.kdkq dans une autre diffusion du mois de mai. Le fichier malveillant s’appelait wupos_digital_cert_{DIGIT[19]}.exe et se trouvait dans une archive zip ajoutée à un message prétendument envoyé par le service de sécurité de Western Union.

Le destinataire apprenait dans ce message qu’il avait obtenu un nouveau certificat numérique pour la réalisation de transfert en ligne et que pour installer celui-ci, il fallait ouvrir la pièce jointe.

 

Le message disait également que l’utilisateur pouvait contacter le service d’assistance de Western Union s’il avait des questions. Les auteurs de la diffusion espérait ainsi dissiper les doutes du destinataire sur la légitimité du message.

Phishing

Au mois de mai, la part des messages de phishing dans le courrier n’a que très peu changé et représentait 0,0024 %.

 
Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie*

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

A l’issue du mois de mai, les réseaux sociaux occupent toujours la première place dans le classement des organisations ciblées par les auteurs d’attaques de phishing. Ils progressent de 0,5 % pour atteindre 35,93 %.

Les deux autres membres du trio, à savoir les moteurs de recherche (14,95 %) et les organisations de paiement (14,93 %) ont permuté leurs positions et se trouvent désormais respectivement en 2e et 3e position.

Les sociétés de technologie de l’information (9,93 %) sont toujours en 4e position, suivis par les magasins en ligne (8,68 %). Les opérateurs de téléphonie et les FAI (8,39 %) reculent d’une position et se retrouvent à la 6e place à l’issue du mois de mai.

Conclusion

Comme toujours, les diffuseurs de courrier indésirable utilisent les noms de personnalités ou de sociétés connues aussi bien dans le cadre d’escroquerie que pour les publicités de biens et de services. Ainsi, au mois de mai, le nom de la société Microsoft a été très utilisé par des escrocs.

Au moi de mai, la majorité du courrier indésirable à l’échelle mondiale provenait de la Chine et des Etats-Unis. Toutefois, l’indice de la Corée du Sud, en 3e position, continue d’augmenter et le pays s’est rapproché de la 2e position. Par ailleurs, près de la moitié du courrier indésirable reçu en Europe provient de la Corée du Sud. Les Etats-Unis et le Viet Nam, en 2e et 3e position suivent loin derrière.

Comme nous l’avions prévu, à l’issue du mois de mai, les réseaux sociaux ont préservé leur position dominante en matière de nombre d’attaques de phishing subies. L’indice augmente légèrement, à l’instar de celui des magasins en ligne. Les jeux en ligne, quant à eux, sont en recul, même si nous attendons à une augmentation du nombre d’attaques de phishing contre ces sites au mois de juin, le premier mois des vacances d’été.

Pendant ces vacances, les écoliers et les étudiants sont souvent victimes d’escroqueries. A l’heure actuelle, les individus malintentionnés privilégient les faux messages envoyés au nom de divers services en ligne. Pour cette raison, soyez très vigilants si vous recevez un message d’un service. N’oubliez pas que les services officiels ne demandent jamais à leurs clients de confirmer des données personnelles ou bancaires en cliquant sur un lien dans un message et menacent encore moins leurs clients de bloquer le compte. Ne cliquez jamais sur des liens bloqués par un logiciel antivirus ou le navigateur. Faites attention aux liens dans les messages. Si le message reprend un lien vers un site non officiel ou si le texte du message reprend l’adresse du site officiel mais que le lien mène en réalité à un autre site, il s’agit probablement d’un message de phishing. En cas de doute sur l’authenticité d’un message, contactez le service d’assistance de la société mentionnée dans le message et demandez une confirmation de la diffusion de ce message.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *