Courrier indésirable en mai 2014

Particularités du mois

L’été approche et les diffuseurs de courrier indésirable (spam) ont proposé aux clients potentiels des semences pour le jardin et le potager. De plus, le courrier indésirable anglophone consacré aux célébrations a traité de la fête des mères. Les diffuseurs de messages non sollicitésont envoyé des publicités pour des fleurs et des chocolats.

Courrier indésirable pour la fête des mères

Comme il fallait s’y attendre, les diffuseurs de courrier indésirable n’ont pas manqué d’exploiter la fête des mères célébrée en mai et ils ont diffusé des publicités pour des fleurs et des chocolats consacrés à l’occasion. Afin d’attirer l’attention du destinataire, l’objet évoquait le nom de la fête tandis que le corps du message promettait des remises et la livraison de l’achat le jour même de la fête.



Toutefois, la majorité des liens dans ces messages menait vers des redirections qui renvoyaient l’utilisateur non pas vers un site présentant les cadeaux annoncés, mais bien vers des sites totalement différents. Ces redirections étaient hébergées sur des domaines créés récemment et qui étaient utilisés non seulement dans les liens dans le corps du message, mais également en tant que nom de domaine du serveur pour l’adresse de l’expéditeur. Il faut également signaler que certains messages contenaient un lien qui permettait au destinataire de ce désabonner de cette diffusion non sollicitée. Ce lien permettait en réalité de récolter des adresses de messagerie électroniques en vue de leur envoyer de nouveaux messages non sollicités.

Courrier indésirable pour les jardiniers

Ce n’est un secret pour personne : les Américains font très attention à l’organisation de l’espace qui entoure leur maison et le jardinage est un des plus grands hobbys du pays. Rien d’étonnant dès lors à que que les diffuseurs de messages non sollicités anglophones aient envoyé en mai des offres pour l’achat de semences de gazon et de fleurs ou de graines pour des baies ou des fruits exotiques. Les acheteurs potentiels sont attirés à l’aide d’expressions telles que « offre spéciale », « Offre limitée » ou d’offre d’une plante gratuite à l’achat de deux. La mise en page colorée intégrait des images auxquelles un lien était associé. Il est intéressant de constater que la majorité des domaines vers lesquels ces liens menaient avaient été créé moins d’une semaine avant la diffusion des messages.



Diplômes et titres

Nous avons observé au mois de mai un volume important de publicités pour des écoles et des instituts proposant des formations par correspondance. Nous avons également identifié des messages qui proposaient ouvertement au destinataire d’acheter un titre académique. Il suffisait pour cela de faire un don à une église qui octroyait ensuite le titre de docteur honorifique à son bienfaiteur.



En Allemagne par exemple, seuls les instituts d’enseignement supérieur et les universités peuvent octroyer le titre de docteur. La situation diffère toutefois pour les doctorats honorifiques remis au nom d’une église. Et bien que l’obtention d’un tel titre ne soit soumise à aucun apprentissage, ni à aucune rédaction et présentation d’une thèse, les messages non sollicités de cette catégorie qui font la promotion de tels services utilisent des images en rapport avec le thème de l’éducation.

TNous avons également observé un nombre important d’offres de restructuration de crédits d’étudiant destinées à ceux qui ont terminé l’université depuis longtemps, mais qui n’ont pas la possibilité de rembourser leur dette. Dans ces messages, le destinataire était invité à cliquer sur un lien afin d’accéder à un site où, en général, l’attendait une publicité pour une organisation spécialisée dans la sélection de bénévoles et de collaborateurs dans diverses organisations non commerciales. Une fois le formulaire rempli, l’utilisateur pouvait vérifier les différentes options de transfert de crédit qui lui étaient offertes. Ces messages non sollicités ciblaient le public américain car ce pays possède des programmes publics qui permettent d’obtenir des aides appréciables pour rembourser ces dettes d’étudiant en prestant des services utiles à la nation. Toutefois, ces messages ne provenaient pas d’institutions publiques mais bien de tiers dont l’adresse de messagerie électronique changeait en permanence. De plus, les liens repris dans les messages menaient à des sites créés récemment sur lesquels l’utilisateur était invité à saisir ses données personnelles.



Afin d’éveiller l’intérêt du destinataire, ces messages étaient souvent rédigés à la première personne : « Vous n’avez pas encore réussi à rembourser votre emprunt d’étudiant. J’ai trouvé pour vous un programme que vous devez absolument découvrir. Il vous aidera à réduire sensiblement vos remboursements mensuels ».

Assurance pour tout et contre tout

L’autre thème qui aura été beaucoup utilisé le mois dernier est celui des assurances contre les risques les plus divers, principalement les assurances-vie contre les accidents. Nous avons également vu des offres pour des assurances pour des voitures.



Ces messages visaient principalement à rediriger l’utilisateur vers un site qui permettait de comparer les produits de différentes compagnies d’assurances et de choisir la police dont les conditions étaient les plus avantageuses. Dans d’autres cas, les liens des messages menaient vers des sites parking de spam qui proposaient au visiteur un champ plus vaste de types d’assurance, de programmes et de compagnies. Une fois qu’il avait opéré son choix et cliqué sur une des options proposées, le visiteur était envoyé vers une autre ressource. D’autres liens encore menaient vers un site, de petite taille et de création récente, affichant la publicité d’une compagnie d’assurances en particulier.



Parmi les types d’assurances inhabituelles, rencontrés principalement sur l’Internet anglophone, nous retrouvons l’assurance décès. Il s’agit en réalité d’une version étendue de l’assurance-vie : la prime d’assurance plus élevée permet d’inclure dans la police la couverture des frais associés aux funérailles en cas de décès soudain de l’assuré. Ces messages contenaient au mois de mai une image à laquelle était associé un lien qui menait vers des sites parking consacrés aux assurances. Ces liens changeaient de message en message, mais ils reposaient toujours sur divers domaines enregistrés peu de temps avant l’organisation de la diffusion des messages non sollicités.



Part du courrier indésirable dans le trafic de messagerie




Part du courrier indésirable dans le trafic de messagerie

Au mois de mai, la part de courrier indésirable dans le trafic de messagerie a atteint en moyenne 69,8 %, soit un recul de 1,3% par rapport au mois précédent. Le volume de courrier indésirable a atteint un pic de 72,1% au cours de la troisième semaine du mois tandis que sa valeur la plus faible (69 %) a été enregistrée au milieu du mois.

Pièces jointes malveillantes dans le courrier

Voici le Top 10 des programmes malveillants diffusés par courrier électronique pour le mois de mai.




Top 10 des programmes malveillants diffusés par email

La tête du classement a été modifiée au mois de mai. La 1re position revient à Exploit.JS.CVE-2010-0188.f qui a relégué le célèbre Trojan-Spy.HTML.Fraud.gen en 2e position. Exploit.JS.CVE-2010-0188.f est un malware qui exploite une vulnérabilité dans les version 9.3 et antérieures d’Acrobat Reader. Il se propage sous la forme de documents PDF. La vulnérabilité se manifeste lors de l’accès à un champ contenant une image TIFF composée d’une certaine manière.

Des représentants de la famille Bublik se retrouvent en 3e, 4e, 6e et 10e position. Le mois antérieur, ils détenaient 8 positions sur 10. La principale fonction des programmes de ce type est de télécharger et d’installer d’autres programmes malveillants à l’insu de l’utilisateur de l’ordinateur infecté. Une fois que la commande a été exécutée, le programme se copie dans le dossier %temp%. Ce programme se dissimule sous les traits d’une application ou d’un document d’Adobe. S’agissant de Trojan.Win32.Bublik.cpik et Trojan.Win32.Bublik.cpil, ils téléchargent une vieille connaissance : le cheval de Troie ZeuS/Zbot. Ce programme malveillant est en mesure de réaliser diverses actions malveillantes, mais il intervient généralement dans le vol d’informations d’identification pour l’accès aux services de transactions bancaires par Internet. Il peut également installer CryptoLocker, un programme malveillant qui exige le paiement d’une somme d’argent pour déchiffrer les données de l’utilisateur.

Trojan-Banker.Win32.ChePro.ilc, un Trojan bancaire qui vise les clients de banques brésiliennes, occupe la 5e position du classement. A l’instar d’autres programmes malveillants de cette catégorie, il vole les informations d’identification aux services de transactions bancaires par Internet.

Trojan-Downloader.Win32.Agent.heek, un autre malware remarquable, occupe la 7e position. Il télécharge des Trojan espion développés pour voler des informations financières confidentielles. Dans la majorité des cas, les programmes de ce type visent des banques établies au Brésil et au Portugal.




Répartition des déclenchements de l’antivirus protégeant les emails par pays

La Grande-Bretagne occupe la 1re position dans le classement des pays en fonction des déclenchements de l’antivirus protégeant les emails. Elle progresse de 3,5 % en mai pour atteindre 13,5 %. Les Etats-Unis (9,9 %) reculent de 1,8 % et se retrouvent en 2e position tandis que l’Allemagne conserve sa 3e position avec 8,2 %.

Parmi les entrées de ce classement, il faut signaler la Colombie (1,83 %) qui occupe la 20e position dans le classement des pays en fonction des déclenchements de l’antivirus protégeant les emails. La Russie, quant à elle, a quitté ce Top 20 pour le mois de mai.

Les indices des autres pays sont restés pratiquement inchangés au mois de mai.

Particularités du courrier indésirable malveillant

Les assurances ont été à la mode au mois de mai non seulement dans le courrier indésirable, mais également dans les diffusions de pièces jointes malveillantes par email. Ainsi, nous avons observé un message en allemand dont l’objet disait « Vous n’avez pas payé votre mensualité » et dont le contenu portait sur l’augmentation du taux d’intérêt le mois prochain. Ces messages contenaient un lien vers les prétendues informations détaillées sur le contenu du message, mais il s’agissait en réalité d’un lien qui permettait de télécharger une archive zip intitulée « Dokumentation » (documentation) ou « Rechnung » (facture). Dans les deux cas, l’archive contenait le programme malveillant Backdoor.Win32.Androm.dsqy. Les représentants de la famille Andromeda sont des portes dérobées qui permettent d’administrer l’ordinateur infecté à l’insu de la victime. Les ordinateurs qui sont infectés par de tels programmes sont souvent recrutés dans des réseaux de zombies.



Les individus malintentionnés ont également envoyé au mois de mai de fausses notifications au nom du célèbre magasin en ligne iTunes Store. Ce message évoquait l’achat d’une application et citait le nom de l’application en question ainsi que la somme payée. La pièce jointe ne contenait pas la facture, mais bien le programme malveillant Trojan-Banker.Win32.Shiotob.f. Les chevaux de Troie de cette catégorie volent les mots de passe enregistrés dans les clients FTP et se mettent à l’écoute du trafic Internet des navigateurs afin de voler les informations d’identification pour divers sites.



Les clients de la grande société E.ON, spécialisée dans la production et la distribution d’électricité et de chauffage dans divers pays dont la Russie ont également été pris pour cible. Un message, aux couleurs de la société était envoyé aux clients. Son contenu était le suivant : « Nous tenons à vous informer par le biais de ce message que nous n’avons pas été en mesure de traiter votre dernier paiement. Vous trouverez tous les détails dans la pièce jointe ». La pièce jointe contenait Trojan-Spy.Win32.Zbot.svvs, un autre représentant de la célèbre famille Zbot, développé pour voler des données personnelles et principalement les données relatives aux comptes en banque.



Phishing

A l’issue du mois de mai, le classement des organisations exploitées par les auteurs d’attaques de phishing est dominé par les portails de courrier électronique et de recherche (32,3 %) qui ont progressé d’à peine 0,5 % à l’issue du mois. Les réseaux sociaux, menés par Facebook, occupent la 2e position (23,9 %). L’indice des organisations financières et de paiement (12,8 %) a augmenté de 0,2 %, à l’instar de l’indice des magasins en ligne (12,1 %) qui se maintiennent en 4e position. La part d’attaques de phishing contre des représentants de la catégorie « Opérateurs de téléphonie mobile et FAI » a quant à elle diminué de 0,4 % par rapport au mois d’avril.




Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Souvent, les fausses notifications relatives aux impôts sont envoyées dans le but d’installer les programmes malveillants les plus divers sur les ordinateurs des internautes. Au mois de mai, nos pièges ont capturé de fausses notifications du fisc d’Afrique du Sud dont la pièce jointe n’était pas un programme malveillant, mais une page HTML de phishing. Les escrocs tentaient de convaincre les destinataires de saisir les données de leur carte bancaire en prétextant le remboursement d’une certaine somme sur les paiements d’impôts anticipés. Afin de donner plus de crédibilité au message, la page affichait le logo du service tandis que le champ de l’expéditeur reprenait non seulement le nom de l’administration, mais également l’adresse officielle sars.gov.za en tant que nom de domaine du serveur.



Conclusion

La part du courrier indésirable dans le trafic de messagerie en mai a diminué de 1,3 % pour atteindre 69,8 %.

Les diffuseurs de courrier indésirable ont exploité l’approche de l’été et la fin de l’année scolaire pour diffuser des messages non sollicités faisant la publicité de différentes options de vacances pour les enfants, de services de rédaction de travaux de fin d’étude ou de vente de diplômes de n’importe quelle institution d’enseignement supérieur. On devrait observer cet été également l’augmentation annuelle du volume de spam au contenu touristique associé à la période des vacances.

Dans le spam anglophone, les diffuseurs de messages non sollicités ont beaucoup exploité le sujet de la fête des mères dans le cadre de publicités pour les cadeaux les plus divers. L’autre sujet exploité en mai par les diffuseurs de messages non sollicité aura été les assurances contre les risques les plus divers. Dans l’internet russophone, ce sont les assurances pour véhicules qui ont fait l’objet du plus grand nombre de diffusions tandis que dans l’internet anglophone, ce sont les assurances-vie qui ont été le plus promues.

Le cheval de Trojan-Spy.HTML.Fraud.gen domine toujours le classement des programmes malveillants diffusés par email au mois de mai. Le nombre de représentants de la famille Bublik a considérablement diminué dans notre classement. Ils n’ont occupé que cinq positions dans le classement du mois de mai.

A l’issue du mois de mai, le classement des organisations prises pour cible par les auteurs d’attaques de phishing n’a pratiquement pas changé. Les portails de courrier électronique et de recherche occupent la tête du classement (32,3 %). Les réseaux sociaux conservent leur 2e position (23,9%) tandis que les organisations financières et de paiement arrivent en 3e position avec 12,8 %.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *