Courrier indésirable en mars 2014

Particularités du mois

Au mois de mars, les diffuseurs de courrier indésirable (ou spam) ont envoyé non seulement des messages publicitaires traditionnels faisant allusion fêtes et congés nationaux mais également des messages visant à d’obtenir les données personnelles des utilisateurs.

Parmi les messages publicitaires les plus diffusés au mois de mars, nous pouvons citer des offres de différents produits pour les amoureux des voitures, de l’immobilier en Crimée, des services linguistiques ainsi que des services pour l’amélioration des communications téléphoniques au bureau. Bon nombre de ces messages ont été diffusés non seulement dans l’Internet russophone, mais dans d’autres régions également.

Courrier indésirable & célébrations

En 2014, les dimanches de Pâques chrétienne et orthodoxe tombent le même jour (20 avril). A l’approche de cette fête, on trouve dans le courrier indésirable anglophone des messages publicitaires traditionnels pour des articles de contre-façon de produits de luxe ou des bonbons inspirés des fêtes.

Dans le courrier indésirable russophone, consacré à Pâques, on trouve également des publicités pour des bonbons et des souvenirs dans le style de Pâques.

Signalons que le volume de courrier indésirable consacré à Pâques était assez faible en mars, mais nous nous attendons à une augmentation en avril.

Les individus malintentionnés ont exploité le thème de la Saint-Patrick, célébré le 17 mars, pour tenter de voler les noms d’utilisateur et les mots de passe des espaces personnels d’utilisateurs sur le réseau social LinkedIn. Dans ces diffusions consacrées à la Saint Patrick, l’utilisateur était invité à ouvrir gratuitement un compte premium sur ce réseau social. Pour accéder au compte, il suffisait de cliquer sur le lien à la fin du message. Toutefois, ce lien ne menait pas vers LinkedIn, mais bien vers une page de phishing et toutes les informations saisies par l’utilisateur étaient transmises aux escrocs. Les individus malintentionnés avaient utilisé le logo du site et la signature automatique afin de donner un aspect légitime au message. De plus, l’adresse de l’expéditeur semblait tout à fait normale, à l’exception du nom de domaine abrégé linke.com au lieu du domaine officiel linkedin.com.

Courrier indésirable linguistique

Au mois de mars, le courrier indésirable russophone a compté de nombreuses propositions d’apprentissage des langues par les méthodes les plus diverses. Ces messages proposaient aux destinataires d’apprendre une langue étrangère en 10 jours seulement. Le nom du destinataire dans ces messages étaient souvent remplacé par une expression comme « Language Learning ». Les domaines de messagerie de ces adresses étaient récents et changeaient de message en message. Le message en lui-même contenait de longs liens qui, après une multitude de redirections, menaient sur un site de publicités proposant d’acheter, avec une remise conséquente, une collection de disques d’apprentissage de langue selon une méthode spéciale. En cas de commande, le paiement pouvait s’effectuer selon le mode le plus pratique.

Ce sujet linguistique a figuré dans un autre type de message également : ceux envoyés par différentes agences de traduction assurant la promotion de leurs services. Nous avons observé ces messages dans plusieurs langues : anglais, allemand, français, espagnol et néerlandais. Parfois, le texte d’un message dans une langue est reproduit directement dans plusieurs autres. Les messages contenaient la liste des paires de langues dans lesquelles travaillait le bureau en question, les principales paires pour la traduction, ainsi qu’une liste de services (interprétation, traduction et liste des sujets les plus souvent traduits). Pour contacter le bureau, le destinataire pouvait utiliser les liens directs vers le site du bureau, réaliser un appel téléphonique ou envoyer un message électronique au directeur.

Téléphonie

Les diffuseurs de courrier indésirable ont également diffusé en mars des publicités pour des outils permettant de réduire les dépenses de téléphone. La majorité de ces messages visait des grandes entreprises. Par exemple, certains messages proposaient aux destinataires d’améliorer la qualité des communications via les téléphones fixes du bureau, de connecter des appels locaux avec certains codes ou de réaliser des appels internationaux illimités depuis n’importe quelle ville au tarif le plus bas.

Les messages contenant les publicités pour ces services provenaient d’adresses et de noms de domaines spéciaux enregistrés récemment et qui changeaient de message en message. Les liens dans ces messages menaient vers un site contenant un mini sondage qui, à l’aide des critères indispensables, permettait de sélectionner la solution qui convenait le mieux à la société. Au final, il s’agissait simplement de publicités pour certains prestataires de service de téléphonie pour entreprises.

Statistiques

Part du courrier indésirable dans le trafic de messagerie


Part du courrier indésirable dans le trafic de messagerie

Le courrier indésirable a atteint en mars 63,5 % du volume de trafic de messagerie. Le pic a été enregistré au cours de la première semaine du mois de mars (67,3 %), avant de reculer.

Répartition géographique des sources de courrier indésirable

A l’issue du mois de mars 2014, voici le classement des pays source de courrier indésirable diffusé à travers le monde :


Pays, source de courrier indésirable

La Chine, qui est à l’origine de 24,6 % du courrier indésirable envoyé, occupe la 1e position de ce classement. Cela représente une progression de 1,7 % par rapport au mois dernier. Les Etats-Unis occupent la 2e position : la part de messages non sollicités envoyés depuis ce pays a atteint 17 % (2 % de moins qu’en février). La Corée du Sud referme le trio de tête : 13,6% du courrier indésirable mondial a été envoyé depuis ce pays, soit 0,8% de plus que le mois antérieur. Globalement, le trio de tête de ce classement représente une nouvelle fois plus de la moitié de l’ensemble du courrier indésirable mondial.

La Russie arrive en 4e position avec 6,5 %. La part de messages non sollicités en provenance de ce pays a légèrement reculé (-0,5 %).

La position des pays suivants demeurent inchangée : Taiwan (6 %), Inde (3,7 %), Viet Nam (3,5 %), Ukraine (2 %). Leurs indices n’ont enregistré que de très faibles variations.

Le Japon (1,9 %) dont l’indice n’a progressé que de 0,15 % en un mois passe de la 10e à la 9e position. La Roumanie (1,8 %) referme le Top 10 du mois de mars.

Il convient également de souligner la légère augmentation de la diffusion de messages non sollicités depuis le Royaume-Uni (1 %), qui progresse de 8 positions par rapport au mois dernier.


Pays, source de courrier indésirable en Europe

La tête du classement des pays d’origine du courrier indésirable envoyé en Europe est occupée par la Corée du Sud (50,8 %). Elle progresse de 1,2 % en un mois. Suivent les Etats-Unis (7,6 %). La part de ce pays a reculé de 1,4 %. Taiwan referme le trio de tête avec 6 %, soit une progression de 0,5 % par rapport au mois de février.

La Russie conserve sa 4e position (4,2 %) : l’indice de ce pays a reculé de 0,8 % par rapport à février.

Sur l’ensemble du mois, on enregistre un diminution de la part de messages non sollicités envoyés depuis la Chine (2,9 %), l’Ukraine (1,8 %) et l’Allemagne (0,7 %) de 1, 0,5 et 0,7 % respectivement. De leur côté, les indices du Vietnam (2,7 %), de l’Inde (2,6 %) et de Grande-Bretagne (1,8 %) progressent. La Grande-Bretagne referme le Top 10.

Il convient de signaler que le flux de messages non sollicités en provenance de France et de Thaïlande a quelque peu augmenté en mars, ce qui permet à ces deux pays de faire leur entrée dans notre classement avec un indice de 0,5 % chacun.


Régions d’origine du courrier indésirable

L’Asie demeure la principale région source de courrier indésirable (58 %) en mars, soit une progression de 4 % par rapport au mois dernier. Viennent ensuite l’Amérique du Nord (17 %) et l’Europe de l’Est (15 %) comme le mois dernier. Les indices de ces régions ont diminué respectivement de 2,6 % et 1,4 %. La part de courrier indésirable pour les autres régions n’a pratiquement pas changé.

Pièces jointes malveillantes dans le courrier

Au mois de mars, le Top 10 des programmes malveillants diffusés par email était le suivant.


Top 10 des programmes malveillants diffusés par courrier électronique

Trojan-Spy.HTML.Fraud.gen occupe une nouvelle fois la tête du classement des programmes malveillants diffusés par email. Pour rappel, les chevaux de Troie de la famille Fraud.gen se présentent sous la forme de fausses pages HTML et se propagent par email dans un message contenant une prétendue notification importante d’une banque, d’un magasin en ligne, d’un éditeur de logiciel, etc.

La 2e et la 10e position sont occupées par des représentants de la famille Aspxor que nous connaissons bien également. Ce ver de réseau infecte automatiquement des sites, télécharge et lance un autre programme, récolte des informations utiles telles que les mots de passe enregistrés ou les données d’accès aux comptes de messagerie ou aux clients FTP.

Vient ensuite Email-Worm.Win32.Bagle.gt. Ce ver de messagerie se propage à toutes les adresses de messagerie électronique récoltées sur l’ordinateur infecté. Le ver peut également télécharger des fichiers depuis Internet à l’insu de l’utilisateur. Email-Worm.Win32.Bagle.gt diffuse les messages infectés via sa propre bibliothèque SMTP.

Trojan-Spy.Win32.Zbot.saps et Trojan-Spy.Win32.Zbot.sapp occupent respectivement la 4e et la 9e position. Zbot est un cheval de Troie spécialisé dans le vol de données confidentielles. Zbot.saps, outre sa fonction principale, installe également sur la machine infectée Rootkit.Win32.Necurs (ou Rootkit.Win64.Necurs) qui est capable, si l’installation réussit, de perturber le fonctionnement de divers logiciels antivirus et autres solutions de protection de l’ordinateur.

Un représentant de la famille Bublik occupe la 5e position. Il s’agit d’un cheval de Troie de téléchargement traditionnel qui télécharge des fichiers malveillants sur l’ordinateur de l’utilisateur, puis qui les exécute.

Backdoor.Win32.Androm.dpqs et Backdoor.Win32.Androm.dqpi occupent les 6e et 7e positions. Les programmes malveillants de la famille Andromeda sont des portes dérobées qui permettent aux individus malintentionnés d’administrer les ordinateurs infectés à l’insu de leurs propriétaires. Les ordinateurs qui sont infectés par de tels programmes sont souvent recrutés dans des réseaux de zombies.


Répartition des déclenchements de l’Antivirus Courrier par pays

Les Etats-Unis (-1,02 %), la Grande-Bretagne et l’Allemagne forment dans cet ordre le trio de tête du classement des pays où les déclenchements de l’antivirus Internet ont été le plus nombreux.

La Russie progresse de la 12e à la 6e place, même si la part de déclenchements de l’antivirus protégeant les emails a diminué (-0,82 %). La part de déclenchements de l’antivirus protégeant les emails en Australie (-0,75 %) a également sensiblement reculé. Ce pays passe en mars de la 7e à la 10e position. La part de déclenchements de l’antivirus protégeant les emails dans les autres pays n’a pas connu de modification notable en mars.

Particularités du courrier indésirable malveillant

En mars, de nombreuses pièces jointes malveillantes ont été diffusées au nom de plusieurs institutions financières de renom dont l’activité est liée au paiement des impôts. Ces messages se présentaient sous la forme d’avis de paiement du fisc qui exigeaient un paiement ou d’avis relatifs à des revenus non déclarés.

Souvent, ces messages contenaient également des données comme l’identifiant du contribuable, le type d’impôt (impôt sur le revenu dans l’exemple ci-dessous), le numéro de document à titre de référence ou signalaient que la déclaration d’impôts soumise était fausse.

Pour obtenir les détails, le destinataire était invité à ouvrir un rapport en pièce jointe ou, en de rares occasions, à remplir le document joint au message. Dans tous les cas, les documents indispensables se trouvaient prétendument dans l’archive jointe, mais en réalité l’archive contenait un fichier exécutable malveillant.

Ainsi, nous avons détecté dans ces messages des chevaux de Troie identifiés par Kaspersky Lab sous les noms Trojan-PSW.Win32.Fareit.aoee et Trojan.Win32.Bublik.buya. Les programmes malveillants de la première famille volent les cookies des navigateurs, les mots de passe des clients FTP et de messagerie, puis envoient ces données au serveur distant des individus malintentionnés. Les programmes malveillants de la deuxième famille téléchargent des fichiers malveillants sur l’ordinateur de l’utilisateur, puis les exécutent.

Phishing

Le classement des catégories d’organisation exploitées par les auteurs d’attaques de phishing est toujours dominé par les réseaux sociaux (23,5 %). Leur indice pour le mois de mars a progressé de 3,8 %. Les services de messagerie occupent la deuxième position avec 16,6 %. L’indice des moteurs de recherche (14,4 %) a diminué de 2 %, tout comme celui des organisations financières et de paiement (-3,5 %). Les moteurs de recherche retrouvent la 3e position et repoussent les organisations financières et de paiement en 4e place. La part des attaques de phishing qui exploitaient des magasins en ligne a augmenté de 8,9 %, ce qui permet à cette catégorie de progresser de 2 places et d’occuper la 5e position au mois de mars. L’indice des opérateurs de téléphonie et des FAI a légèrement augmenté, mais cette catégorie recule en 6e position.


Répartition du TOP 100 des organisations victimes d’attaques de phishing par catégorie

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements de notre module de lutte contre le phishing sur les ordinateurs des utilisateurs. Il détecte tous les liens de phishing sur lesquels l’utilisateur a tenté de cliquer, qu’il s’agisse d’un lien dans un message ou sur Internet.

Les banques allemandes sont souvent exploitées par les auteurs d’attaques de phishing. Nous avons enregistré en mars une nouvelle campagne visant à voler les données bancaires personnelles d’utilisateurs d’un service de transactions bancaires par Internet. Le message, envoyé au nom d’un employé d’une banque, signalait que l’accès au compte en ligne de l’utilisateur allait bientôt expirer. Afin de pouvoir continuer à bénéficier du service en ligne, l’utilisateur devait cliquer sur un lien qui le menait en réalité vers une page de phishing. L’utilisateur devait saisir sur ce formulaire non seulement les données permettant d’accéder au système de transactions bancaires par Internet, mais également ces données personnelles.

La fausse page imitait le style du site officiel de la banque. Le message de phishing en lui-même ne reprenait aucun élément de l’image de la banque (logo, signature automatique, etc.) alors que d’habitudes les auteurs d’attaques de phishing utilisent ces éléments afin de donner un caractère légitime à leurs messages. Signalons que l’adresse de l’expéditeur contenait un nom de domaine (après le symbole @) qui appartenait au Conseil national de recherches Canada qui n’a aucun lien avec l’organisation bancaire.

Conclusion

La part du courrier indésirable dans le trafic messagerie mondial en mars a augmenté de 6,4 % pour atteindre 63,5 %. Le volume total de messages non sollicités faisant allusion à des célébrations nationales ou religieuses a également diminué par rapport au mois précédent. Alors que la fête de Pâques est souvent utilisée dans le cadre de publicités pour des articles et cadeaux divers, la Saint-Patrick a été exploitée par des individus malintentionnés qui tentaient d’accéder aux comptes d’utilisateurs sur un réseau social connu.

De plus, un volume important de publicités pour l’apprentissage de langues étrangères à l’aide des méthodes les plus divers a circulé sur Internet. De nombreux messages contenaient également des informations sur des solutions permettant d’améliorer les communications téléphoniques pour les petites et les moyennes entreprises.

Le trio de tête des pays source du courrier indésirable diffusé dans le monde entier a été le suivant au mois de mars : il s’agit de la Chine (24,6 %), des Etats-Unis (17 %) et de la Corée du Sud (13,6 %). L’Asie domine toujours le classement des régions en matière de diffusion du courrier indésirable (58%).

Dans le cadre de la diffusion de messages contenant des pièces jointes malveillantes, les individus malintentionnés ont utilisé de fausses notifications non seulement de banques connues, mais également d’organisations financières dont l’activité est liée par exemple au calcul et à la collecte des impôts.

A l’issue du mois de mars, le classement des catégories d’organisations dont le nom est exploité dans les attaques de phishing est encore et toujours mené par les réseaux sociaux. Les services de messagerie conservent leur 2e position tandis que les moteurs de recherche progressent en 3e place. L’indice des magasins en ligne a sensiblement augmenté. Cette catégorie passe de la 7e à la 5e position.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *