Courrier indésirable et phishing au premier trimestre 2015

Courrier indésirable : particularités du trimestre

Nouvelles zones de domaines

Le programme New gTLD a été lancé en janvier 2014. Il permet d’enregistrer de nouveaux noms de domaine génériques de 1er niveau pour des communautés ou des types d’organisation définis. L’avantage principal de ce programme est qu’il permet aux organisations de sélectionner des zones de domaines qui correspondent précisément à leur domaine d’activité ou à la thématique du site. Les utilisateurs d’Internet ont embrassé les nouvelles possibilités commerciales qu’offrent le programme New gTLD et l’enregistrement de nouveaux noms de domaines n’a pas faibli depuis lors.

Il aurait été naïf de croire que les cybercriminels et les diffuseurs de spam n’allaient pas exploiter également cette possibilité. En effet, ces nouveaux domaines constituent pour eux un excellent outil dans le cadre de l’organisation de campagnes illégitimes. Par conséquent, les nouveaux domaines ont très vite été les théâtres de diffusions massives de courrier indésirable, de messages de phishing et de messages malveillants. Soit les cybercriminels enregistraient spécialement des noms de domaine pour diffuser des messages non sollicités, soit ils attaquaient des sites existants afin d’y charger des pages de spam ou encore, ils exploitaient ces deux types de ressources pour rediriger les visiteurs vers des sites de spam.

D’après nos observations pour le trimestre écoulé, le nombre de nouveaux domaines utilisés pour la diffusion de spam au contenu le plus divers a sensiblement augmenté. Généralement, le sujet du message non sollicité n’était pas spécialement lié aux noms de domaine. Toutefois, dans certains cas, il était possible de mettre en évidence une certaine connexion logique. Par exemple, les messages en provenance du domaine .work contenaient plus d’offres de réalisation des travaux les plus divers telles que des travaux de rénovation, de construction ou d’installation. Tandis qu’un volume important de messages en provenance de .science assurait la publicité d’établissements académiques offrant des cours à distance, d’écoles d’infirmières, de formations de juristes spécialisés en droit fiscal ainsi que d’autres experts.

Nous avons également observé au premier trimestre un nombre important de messages provenant de domaines associés à une couleur : .pink, .red, .black. Ces domaines ont été principalement utilisés pour promouvoir des sites de rencontre asiatiques. En général, ces domaines de premier niveau utilisés dans le cadre de la diffusion massive de messages consacrés aux rencontres étaient vides et n’offraient aucun contenu logique en rapport avec le sujet. Ils intervenaient simplement dans la chaîne de redirections vers les sites principaux. Il faut signaler également que l’enregistrement des domaines de 1er niveau des sites principaux était récent et que ces sites changeaient constamment, à la différence du contenu qui lui, suivait un modèle unique. Ce comportement est typique du courrier indésirable.

Les domaines de 2ème niveau ou de niveau inférieur repris dans ces messages sont en général créés automatiquement et sont composés par une succession de chiffres et de lettres sans rapport. Les nouveaux domaines créés dans le cadre du programme New gTLD ne sont pas les seuls à être utilisés. On retrouve également les domaines connus des zones .com, .org, .info, etc.

Nouveaux domaines, anciens sujets

S’agissant des thèmes du spam sur ces nouveaux domaines et du spam en général sur l’ensemble du trimestre, celui des assurances aura été un des plus importants, aussi bien en termes de volume des messages que de l’utilisation de domaines changeant dans les diffusions. Ce thème recouvre tous les types d’assurance : vie, santé, incendie, auto, animaux, et même décès. Le courrier indésirable envoyé pour promouvoir des services d’assurance s’est distingué non seulement par l’utilisation de nouveaux domaines de 1er niveau, mais également par l’exploitation de domaines compromis ou périmés. Et malgré l’existence de nouveaux domaines, les diffuseurs de courrier indésirable ont continué à utiliser d’anciennes astuces comme ajouté le domaine d’une organisation reconnue au champ "From" comme @amazon.com ou @ebay.com.

Les messages que nous avons détectés étaient en général fidèles à un modèle :

  • très peu de texte (principalement, l’en-tête caractéristique du message composé de quelques mots qui sont ensuite répétés à l’identique dans le corps du message),
  • un ou plusieurs liens dont la fonction est de télécharger une image vive, en plusieurs parties ou en une seule fois, contenant toutes les infos indispensables de la publicité (un texte un peu plus élaboré pour la publicité et des coordonnées : adresse du site, téléphone, nom de la société),
  • un autre long lien qui mène vers une ressource en rapport avec le contenu du message,
  • du texte parasite.

Ce dernier est généralement composé de phrases sans rapport entre elles ou de mots isolés, dans n’importe quelle langue, même une langue qui ne correspond pas à la langue de la diffusion, et généralement, invisible à l’œil car écrit en blanc ou dans une couleur claire sur un fond standard blanc. Cette astuce a été employée non seulement dans les messages de publicité pour des assurances, mais également dans de nombreux autres.

Code source de la page contenant une sélection aléatoire de mots pour brouiller le message

Astuces des diffuseurs de spam

Le brouillage à l’aide d’extraits de texte écrit en blanc sur un fond blanc permet de déjouer les filtres antispam. Il fait croire au filtre que le contenu du message est normal.

Une autre manière de brouiller le texte qui a souvent été utilisée par les spammeurs au trimestre dernier consiste à corrompre les adresses des sites de spam en les écrivant en plusieurs parties ou en y ajoutant des caractères supplémentaires. Mais le texte contient à un endroit quelconque les noms des domaines de 2ème niveau où se trouve le site du spammeur, ainsi que les instructions d’utilisation avec la zone de domaine : par exemple, "effacez tous les caractères supplémentaires et copiez/collez dans la barre d’adresse" ou "à saisir dans la ligne d’adresse sans espace". En clair, le destinataire du message est invité à recomposer et à saisir lui-même l’adresse du site de spam.

Macros dans le courrier indésirable

Le courrier indésirable devient toujours plus dangereux pour les internautes. Non seulement les cybercriminels inventent de nouvelles astuces, mais ils recourent aussi de plus en plus souvent à des méthodes anciennes et oubliées des utilisateurs. Ainsi, au premier trimestre 2015, les individus malintentionnés ont diffusé des virus de macro (programmes écrits dans les langages macro intégrés aux systèmes de traitement de données (traitement de texte, tableur, éditeur graphique, etc.) à l’aide de messages non sollicités.

Tous les messages malveillants contenaient une pièce jointe au format .doc ou .xls dont l’ouverture lançait l’exécution d’un script VBA. Ce script téléchargeait et installait dans le système d’autres malwares, par exemple le Trojan bancaire Cridex. Les virus de macro que nous avons repérés appartenaient à la catégorie Trojan-Downloader : Trojan-Downloader.MSExcel.Agent, Trojan-Downloader.MSWord.Agent, Trojan-Downloader.VBS.Agent.

En général, les pièces jointes malveillantes étaient présentées sous les traits de documents financiers les plus divers : notification d’amende, de virement bancaire, de facture impayée, de paiement, de commande, ainsi que des réclamations, des billets électroniques, etc.

Parmi ces messages d’escroquerie, on retrouve souvent de fausses notifications envoyées au nom d’institutions publiques, de magasins, de services de réservation, de compagnies aériennes et d’autres organisations connues.

Parmi les exemples intéressants de fausses notifications, il convient d’évoquer une fausse confirmation de paiement au nom d’un employé d’une société connue dans la vente de fontaines à eau de bureau en Grande-Bretagne. La mise en page du faux message ressemble grandement à un message officiel et reprend les coordonnées complètes, le logo et les liens légitimes.

Au début de l’année, nous avons découvert une campagne dont les messages contenaient des pièces jointes malveillantes au format Microsoft Word ou Excel. Au lieu des informations complémentaires promises dans le message, la pièce jointe contenait un Trojan de téléchargement (Trojan-Downloader.MSExcel.Agent ou Trojan-Downloader.MSWord.Agent), qui téléchargeait et lançait un autre malware. Les messages de la campagne étaient rédigés selon un modèle unique. L’adresse de l’expéditeur et le montant cité dans l’objet et dans le corps du message étaient les seuls éléments qui variaient.

Le contenu du document piégé par le virus de macro peut ressembler à un ensemble de caractères aléatoires, qui évoque l’affichage incorrect de code. Les individus malintentionnés utilisent cette astuce pour convaincre la victime potentielle d’activer la macro sous prétexte de corriger le code. En effet, Microsoft, afin de garantir la sécurité de ses utilisateurs, a désactivé l’exécution automatique des macros dans les fichiers depuis 2007.

Outre les campagnes dans le cadre desquelles le script malveillant était présenté sous la forme d’une macro, nous avons intercepté des messages dans lesquels le script était présenté sous la forme d’un objet. Les auteurs d’un de ces messages signalaient au destinataire qu’il devait s’acquitter d’une dette dans le courant de la semaine, sans quoi il s’exposait à une poursuite devant les tribunaux, ce qui occasionnerait des frais supplémentaires.

Le fichier joint était lui aussi au format Word, mais le script VBS malveillant (verdict de Kaspersky Lab : Trojan-Downloader.VBS.Agent.all) était intégré en tant qu’objet. Afin de tromper l’utilisateur, le script apparaissait sous la forme d’un fichier Excel. Les escrocs avaient tout simplement utilisé l’icône de cette application et ajouté ".xls" au nom du fichier.

Pour rappel, le premier virus de macro remonte au mois d’août 1995, utilisé dans des documents MS Word "Concept" et il infecta très vite des dizaines de milliers d’ordinateurs à travers le monde. Bien que ce type de malware soit vieux de 20 ans, il est toujours très populaire et ce parce que le langage VBA développé spécialement pour créer les macros est un des langages les plus simples et les plus accessibles, mais également un des plus fonctionnels.

La majorité des virus de macro est active non seulement à l’ouverture ou à la fermeture du fichier infecté, mais également pendant que l’utilisateur travaille avec l’éditeur (texte ou tableau). Les virus de macro sont dangereux car l’infection touche non seulement le fichier ouvert à l’origine, mais également les autres fichiers qui reçoivent des requêtes directes.

La répartition active des virus de macro dans le courrier électronique ne s’explique pas seulement par la simplicité de leur création. L’autre élément qui joue en leur faveur est l’utilisation constante de logiciels de traitement de texte ou de tableurs sans que les utilisateurs ne soient toujours conscients du danger potentiel que représentent les virus de macro.

Pièces jointes malveillantes dans le courrier

Top 10 des malwares diffusés par courrier au 1er trimestre 2015

Le downloader Trojan-Banker.Win32.ChePro.ink, qui était arrivé en 6e position à l’issue de l’année dernière, aura été le malware le plus diffusé par courrier au 1er trimestre 2015.  Il se présente sous la forme d’un applet CPL (composant de panneau d’administration) qui va télécharger des Trojans développés pour voler des informations financières confidentielles. Dans la majorité des cas, les malwares de ce type visent des banques établies au Brésil et au Portugal.

Trojan-Spy.HTML.Fraud.gen occupe la 2e position. Pour rappel, ce malware se présente sous la forme d’une fausse page HTML diffusée dans un message électronique contenant une prétendue notification importante d’une banque, d’un magasin en ligne, d’un éditeur de logiciel ou d’une organisation quelconque.

Les malwares Trojan-Downloader.HTML.Agent.aax et Trojan.HTML.Redirector.ci occupent respectivement les 4e et 7e positions. Ils se présentent sous la forme d’une page HTML qui contient un code qui redirige l’utilisateur vers le site de l’individu malintentionné. L’utilisateur arrive souvent sur une page de phishing ou sur une proposition de téléchargement de Binbot, un service d’échange automatique d’options binaires, très répandu ces derniers temps. Ces malwares sont propagés via courrier et se distinguent uniquement par le lien utilisé pour la redirection.

Trojan.Win32.VBKrypt.sbds occupe la 6e position. Il appartient aux Trojans-Downloader les plus traditionnels qui se contentent de télécharger, puis d’exécuter un fichier malveillant sur l’ordinateur de l’utilisateur.

Les 8e et 9e positions reviennent à des downloaders de la famille Upatre : Trojan-Downloader.Win32.Upatre.fbq et Trojan-Downloader.Win32.Upatre.fca respectivement. Leur tâche principale consiste à télécharger, décompacter et exécuter des applications complémentaires. Le malware se dissimule dans la majorité des cas sous les traits d’un document PDF ou RTF.

Si on laisse de côté les malwares concrets pour se concentrer sur des familles de malwares populaires, on observera qu’Upatre a dominé ce classement au premier trimestre 2015. Dans la majorité des cas, les représentants de la famille Upatre téléchargent le malware bancaire Dyre (connu également sous le nom de Dyreza, Dyzap), ce qui permet à cette famille d’occuper également la première position dans notre classement des menaces bancaires actuelles.

La famille Andromeda, qui occupait la tête de cette liste à l’issue de l’année dernière, a reculé en 2e position. Pour rappel, les malwares de la famille Andromeda permettent aux individus malintentionnés d’administrer les ordinateurs infectés à l’insu des victimes et de les enrôler dans des réseaux de zombies.

La famille MSWord.Agent occupe la 3e position. Ces malwares se présentent sous la forme d’un fichier .doc qui contient une macro Visual Basic for Applications (VBA) exécutée à l’ouverture du document. Le malware télécharge et exécute un autre malware, par exemple un membre de la famille Andromeda.

Les Trojans de la famille ZeuS/Zbot, qui figurent parmi les programmes les plus connus et les plus accessibles de vol des informations bancaires des utilisateurs, puis de leur argent, n’occupent que la 7e position à l’issue du 1er trimestre.

Pays, cibles des diffusions de malwares

Répartition des déclenchements de l’antivirus protégeant les e-mails par pays au 1er trimestre 2015.

Le trio de tête des pays ayant enregistré le plus gros volume de spam diffusé a été chamboulé.  Le Brésil a créé la surprise en s’emparant de la 2e position autrefois occupée par l’Allemagne avec 7,44 % contre 3,55 % à l’issue de l’année dernière. La 1re position revient au Royaume-Uni (7,85 %), tandis que les Etats-Unis occupent la 3e position (7,18 %). L’Allemagne, qui figurait dans le trio de tête depuis longtemps, a été déclassée en 4e position (6,05 %).

On remarquera également que l’Australie a progressé jusqu’en 6e position (4,12 %)

La Russie, quant à elle, perd 2 places (recul de la 8e à la 10e position), mais le pourcentage de malwares diffusés sur le territoire russe n’a fait qu’augmenter au cours du 1er trimestre (de 3,24 % à l’issue de l’année dernière jusque 3,36 % au 1er trimestre).

Statistiques

Part du courrier indésirable dans le trafic de messagerie

Part du courrier indésirable dans le trafic de messagerie d’octobre 2014 à mars 2015

À l’issue du 1er trimestre 2015, la part de spam dans le trafic de messagerie a atteint 59,2 %, soit 6 points de pourcentage de moins que lors du trimestre antérieur. La part de spam a progressivement diminué au cours du trimestre : le volume le plus important de messages non sollicités a été enregistré en janvier (61,68 %), tandis que le plus faible a été observé en mars (56,17 %).

Pays, source du courrier indésirable

Pays, source de courrier indésirable, 1er trimestre 2015

En tête du classement des pays source de courrier indésirable au 1er trimestre 2015, nous trouvons les Etats-Unis dont la part a atteint 14,5 % des messages non sollicités. La Russie conserve sa 2e position (7,27 %) tandis que l’Ukraine occupe la 3e position (5,56 %).

Ce trio de tête est suivi par le Vietnam (4,82 %), la Chine (4,51 %) et l’Allemagne (4,39 %). L’Inde referme le Top 10 : 2,83 % du courrier indésirable mondial provenait de ce pays au 1er trimestre 2015.

Taille des messages non sollicités

Tailles des messages non sollicités, T4 2014 et T1 2015

La répartition des messages non sollicités par taille reste stable. Les messages très petits de 2 Ko maximum occupent la 1re position (73,99 %) avec une grande longueur d’avance. Ils sont pratiques pour les diffusions massives. La part de ces messages au 1er trimestre a reculé de 3,28 points de pourcentage.

La part des messages dont la taille est comprise entre 2 et 5 Ko (16,00 %) a sensiblement augmenté (5,4 points de pourcentage), tandis que la part des messages dont la taille est comprise entre 5 et 10 Ko a perdu 2,28 points de pourcentage pour atteindre 2,20 %. Par rapport au trimestre antérieur, la part de messages de grande taille (à partir de 10 Ko) n’a pratiquement pas augmenté.

Phishing

Sur l’ensemble du 1er trimestre 2015, le système Anti-Phishing s’est déclenché 50 077 057 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab. Il s’agit d’une progression de 1 million de déclenchements par rapport au résultat du trimestre antérieur.

Cela fait quelques trimestres déjà que le pourcentage le plus élevé d’utilisateurs victimes d’attaques de phishing est enregistré au Brésil. Au 1er trimestre 2015, l’indice de ce pays a reculé de 2,74 points de pourcentage pour atteindre 18,28 %.

Géographie des attaques de phishing*, 1er trimestre 2015

*Pourcentage d’utilisateurs sur les ordinateurs desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays.

Top 10 des pays par pourcentage d’utilisateurs attaqués :

  Pays % d’utilisateurs*
1 Brésil 18,28
2 Inde 17,73
3 Chine 14,92
4 Kazakhstan 11,68
5 Russie 11,62
6 Emirats arabes unis 11,61
7 Australie 11,18
8 France 10,93
9 Canada 10,66
10 Malaisie 10,40

Augmentation de la part d’utilisateurs attaqués en Inde (+1,8 point de pourcentage). Nous avons observé un léger recul en Russie (0,57 point de pourcentage), en Australie (2,22 points de pourcentage) et en France (2,78 points de pourcentage).

Organisations victimes du phishing

Les statistiques relatives aux cibles des auteurs d’attaques de phishing reposent sur les déclenchements du module heuristique de l’Anti-Phishing. Le module heuristique du système Anti-Phishing se déclenche lorsque l’utilisateur clique sur un lien qui mène à une page de phishing et que les bases de Kaspersky Lab ne contiennent pas d’informations sur cette page. Et peu importe la manière dont la victime arrive sur la page : clic sur un lien dans un message de phishing, dans un message de réseau social ou encore, suite à l’action d’un programme malveillant. Après le déclenchement du module, un message relatif à la menace potentielle s’affiche dans le navigateur.

Malgré un recul sensible dans le classement des organisations prises pour cible par les attaques de phishing survenu au 3e trimestre de l’année dernière, la catégorie "Portails globaux" occupe toujours la première position en 2015 avec 25,66 %. L’indice de cette catégorie n’a augmenté que de 0,4 point de pourcentage par rapport au 4e trimestre 2014.

Répartition des organisations victimes d’attaque de phishing*, par catégorie,
1er trimestre 2015

Au 1er trimestre 2015, la part de la catégorie "Magasins en ligne" (9,68 %) a augmenté de 2,78 points de pourcentage. La part de la catégorie "Jeux en ligne" (3,40 %) a progressé de 0,54 point de pourcentage, mais elle a malgré tout cédé sa place à la catégorie "Clients de messagerie instantanée" (3,92 %) dont la part a progressé de 1,69 point de pourcentage.

Pour ce trimestre, nous avons ajouté la catégorie "Société de courrier" à notre liste. Même si la part de cette catégorie n’atteint que 0,23 %, elle affiche ces derniers temps une augmentation (0,04 point de pourcentage) et la société DHL figure dans le Top 100 des organisations victimes d’attaque de phishing.

Répartition des attaques de phishing contre les sociétés de courrier, 1er trimestre 2015

Dans plusieurs des messages que nous avons découverts, les escrocs proposent d’acheter des marchandises avec livraison via les services d’une des sociétés connue de livraison de courrier. En cas d’accord, ils exigent le paiement préalable de la livraison et envoient de fausses factures affichant un logo qui évoque celui de la société. Une fois que les escrocs ont obtenu ce qu’ils voulaient, ils disparaissent.

Qui plus est, les messages de phishing envoyés au nom de sociétés de courrier contiennent souvent des pièces jointes malveillantes. En général le message est une notification de livraison d’un colis et afin de conclure la procédure de livraison, le destinataire est invité à ouvrir la pièce jointe qui est malveillante ou à cliquer sur un lien pour accéder à un site où il devra saisir ses données personnelles. Cette dernière méthode permet de recevoir des adresses électroniques valides ainsi que d’autres informations personnelles de l’utilisateur.

Exemple de message de phishing envoyé au nom de FedEx

Exemple de page de phishing qui imite la page d’accès à l’espace client de DHL

Exemple de page de phishing qui imite la page d’accès à l’espace client d’UPS

Exemple de page de phishing qui imite la page d’accès à l’espace client de FedEx

Top 3 des organisations attaquées

Par rapport au dernier trimestre 2014, le Top 3 des organisations victimes d’attaque de phishing n’a pas connu de modification.

  Organisation % de liens de phishing
1 Facebook 10,97
2 Google 8,11
3 Yahoo! 5,21

Le trio de tête reste composé de Facebook (+0,63 points de pourcentage), Google (+1,51 points de pourcentage) et Yahoo! (5,21 %). Notons que la part d’attaques contre ce dernier diminue doucement (-1,37 point de pourcentage).

Conclusion

À l’issue du 1er trimestre 2015, la part de courrier indésirable atteignait 59,2% du trafic de messagerie, soit 6 points de pourcentage de moins qu’au trimestre précédent.  La part de spam a progressivement diminué sur l’ensemble du trimestre.

Au 1er trimestre 2015, le trafic de messages non sollicités a compté de nombreux messages avec des pièces jointes au format Word et Excel contenant des virus de macro. Les individus malintentionnés ont tenté de convaincre les destinataires d’ouvrir le fichier malveillant en faisant passer la pièce jointe pour les documents les plus divers, dont des documents financiers. Les faux messages étaient également présentés sous les traits de notifications en provenance d’organisations ou de services connus.

Au 1er trimestre, les résultats du programme d’enregistrement de nouveaux noms de domaines de 1er niveau (New gTLD), lancé en 2014, ont été particulièrement remarqués. De nouveaux domaines sont enregistrés chaque jour, mais ils ne sont pas toujours utilisés à des fins légitimes. Nous prévoyons le maintien de l’augmentation du nombre de nouveaux domaines de 1er niveau utilisés dans les diffusions. Il faut également s’attendre à une augmentation potentielle des diffusions contenant de nouveaux domaines qui possèdent un lien logique avec les biens ou les services promus, mais cela ne va pas se généraliser.

Le trio de tête des pays source du courrier indésirable diffusé dans le monde affiche la composition suivante : Etats-Unis (14,5 %), Russie (7,27 %) et Ukraine (5,56 %).

Le classement des malwares diffusés par courrier est mené, à l’issue du 1er trimestre, par Trojan-Banker.Win32.ChePro.ink. Parmi les familles de malwares, la famille de downloader Upatre, qui est utilisée pour télécharger le Trojan-Banker Dyre/Dyreza, occupe la tête du classement.  Ce sont les utilisateurs en Grande-Bretagne qui ont été le plus souvent victimes d’attaques : ils comptabilisent 7,85 % des déclenchements de l’Antivirus de courrier électronique.

Sur l’ensemble du 1er trimestre 2015, le système Anti-Phishing s’est déclenché 50 077 057 fois sur les ordinateurs des utilisateurs de produits Kaspersky Lab. Le pourcentage le plus élevé d’utilisateurs victimes d’attaques de phishing est enregistré au Brésil.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *