Développement des menaces informatiques au premier trimestre 2013

Chiffres du trimestre

  • D’après les données de KSN, au premier trimestre 2013, les produits de Kaspersky Lab ont détecté et neutralisé 1 345 570 352 objets malveillants.
  • 22750 nouvelles modifications de programmes malveillants pour appareils mobiles ont été détectées, soit plus de la moitié du total de modifications détectées sur l’ensemble de l’année 2012.
  • 40 % des codes d’exploitation rejetés au premier trimestre visent des vulnérabilités dans les produits Adobe.
  • Près de 60 % de l’ensemble des hôtes malveillants sont répartis entre trois pays : Etats-Unis, Russie et Pays-Bas.

Survol de la situation

Le premier trimestre 2013 aura été très riche en incidents dans le domaine de la sécurité informatique. Ce rapport abordera les plus marquants d’entre eux.

Cyber-espionnage et cyberarmement

Red October

Au début de l’année 2013, Kaspersky Lab a publié un long rapport sur les résultats de l’étude d’une opération internationale de cyber-espionnage baptisée Red October. Ces attaques visaient différentes structures gouvernementales, des organismes diplomatiques et des sociétés dans divers pays à travers le monde. L’analyse des fichiers et la reconstitution du schéma des attaques a pris du temps, mais grâce à cette étude minutieuse, nous avons pu mettre en évidence plusieurs facteurs intéressants.

Ces attaques ont été menées tout au long des cinq dernières années. La plateforme multifonctionnelle utilisée par les auteurs permet d’appliquer rapidement de nouveaux modules d’extension pour collecter des informations. Afin de pouvoir contrôler et gérer les systèmes infectés, ils ont créé plus de 60 noms de domaine différents ainsi que quelques serveurs dans différents pays. L’infrastructure des serveurs d’administration est une chaîne de serveurs proxy.

Outre les cibles traditionnelles des attaques (postes de travail), Red October est en mesure de voler des données sur des appareils mobiles ; la collecte d’informations sur les équipements de réseau est également possible ; les fichiers peuvent être collectés sur des disques USB ; les bases de données de messagerie peuvent être dérobées depuis les banques Outlook ou depuis un serveur POP/IMAP distant. Il est également en mesure d’extraire les fichiers depuis des serveurs FTP locaux dans le réseau.

MiniDuke

En février, la société FireEye a publié une analyse d’un nouveau programme malveillant qui s’infiltre dans le système via une vulnérabilité 0jour dans Adobe Reader (CVE-2013-0640). De cette manière, ce code d’exploitation devenait le premier à pouvoir déjouer le « bac à sable » d’Acrobat Reader. Il téléchargeait une porte dérobée dont la principale fonction était le vol de données dans le système infecté. Après avoir obtenu des exemplaires de ce programme malveillant, nous l’avons baptisé « ItaDuke ».

Quelques temps plus tard, nous avons recensé quelques autres incidents similaires basés sur la même vulnérabilité, mais les programmes malveillants étaient différents. Le programma malveillant utilisé par les individus malintentionnés fut baptisé « MiniDuke ». L’étude de ces incidents fut réalisée en coopération avec la société hongroise CrySys Lab. Parmi les victimes de MiniDuke, il y avait des institutions gouvernementales d’Ukraine, de Belgique, du Portugal, de Roumanie, de République tchèque et d’Irlande, un fond de recherche de Hongrie et un institut d’étude, deux centres d’études scientifiques et un organisme médical aux Etats-Unis. Au total, nous avons identifié 59 victimes dans 23 pays.

Une des caractéristiques les plus intéressantes des attaques de MiniDuke fut la combinaison d’un programme malveillant dont le code avait été produit selon une approche compliquée de la « vieille école » et des technologies relativement nouvelles, mais ayant déjà fait leurs preuves, d’exploitation des vulnérabilités dans Adobe Reader.

Les auteurs de l’attaque envoyaient des documents PDF malveillants avec des codes d’exploitation pour les versions 9, 10 et 11 d’Adobe Reader. Les documents contenaient des informations sur un séminaire portant sur les droits de l’homme (ASEM), des données sur la politique étrangère de l’Ukraine ainsi que des plans de pays membres de l’Otan.  En cas de réussite de l’activation du code d’exploitation, une porte dérobée de seulement 20 Ko, écrite dans Assembler, unique pour chaque système était téléchargée sur le système.

Les auteurs de l’attaque ont utilisé Twitter : pour obtenir l’adresse du serveur de commande et télécharger de nouveaux modules malveillants, la porte dérobée recherchait des tweets spéciaux envoyés par des comptes créés au préalable. Dès que le système infecté établissait une connexion avec le serveur d’administration, il commençait à recevoir des modules chiffrés (portes dérobées) sous la forme de fichiers GIF. La fonction de ces modules était assez élémentaire : copie, déplacement et suppression de fichiers, création de répertoires, téléchargement de nouveaux programmes malveillants.

APT1

Au mois de février, la société Mandiant a publié un long rapport au format PDF sur des attaques organisées par un groupe de hackers chinois baptisé APT1. Tout le monde a déjà entendu parler des menaces persistantes avancées (APT, Advanced Persistent Threat). Parfois, cette expression sert à désigner des menaces ou des attaques dont les « promoteurs » peuvent être nommés avec certitude. Toutefois, dans le cadre des attaques du groupe APT1, cette définition est plus qu’appropriée : la campagne déployée par les pirates chinois a été sérieuse et de grande envergure.

Au début du rapport, Mandiant indique qu’APT1 est probablement une unité de l’armée de la République populaire de Chine. La société avance même une hypothèse quant à l’adresse physique de cette unité et formule également des hypothèses quant à sa composition et à l’infrastructure employée. Mandiant estime que le groupe APT1 est actif depuis 2006 et qu’en 6 ans, il a réussi à voler des téraoctets de données dans au moins 141 organisations. Les victimes se trouvent pour la plupart dans des pays anglophones. Il est clair qu’une attaque d’une telle ampleur ne peut se dérouler sans le soutien perceptible de centaines d’individus, ni sans une infrastructure moderne.

Ce n’est pas la première fois que la Chine est accusée, à différents niveaux, d’organiser des cyberattaques contre des institutions publiques de divers pays. Et il n’y a rien d’étonnant à ce que le gouvernement chinois réfute catégoriquement toutes les théories de Mandiant.

Pour rappel, jusqu’à présent aucun pays n’a jamais revendiqué une cyberattaque quelconque ni reconnu, sous la pression de l’opinion publique, les preuves irréfutables d’activités de cyberespionnage.

TeamSpy

Au mois de mars 2013, des informations relatives à une nouvelle attaque sophistiquée qui visait des hommes politiques du plus haut niveau et des défenseurs des droits de l’Homme dans les pays de la CEI et d’Europe de l’Est ont été publiées. L’opération fut baptisée « TeamSpy » car le contrôle de l’ordinateur des victimes était réalisé à l’aide de l’application TeamViewer, développée à l’origine pour l’administration à distance. L’objectif principal des auteurs de l’attaque était de commencer à récolter des informations sur l’ordinateur de l’utilisateur, depuis la prise de captures d’écran jusque la copie de fichiers portant l’extension .pgp, dont les mots de passe et les clés de chiffrement.

Malgré le fait que les outils utilisés dans le cadre de l’opération TeamSpy, et l’opération dans son ensemble,  semblent moins sophistiqués et professionnels que l’opération Red October dont nous avons déjà parlé, cette attaque n’a pas été sans succès.

Stuxnet 0.5

Les incidents dont l’analyse requiert plusieurs mois d’un travail acharné sont rares dans le secteur des antiivrus. Mais il est encore plus rare de voir des événements qui ne cessent de susciter l’intérêt, même après trois ans, comme c’est le cas avec Stuxnet. Bien que ce ver ait été étudié par de nombreux éditeurs de logiciels antivirus, il reste encore de nombreux modules qui n’ont pas fait l’objet d’une étude aussi poussée ou qui n’ont pas du tout été étudié. Il ne faut pas non plus oublier que Stuxnet possède plusieurs versions, dont la plus ancienne remonte à 2009. Les spécialistes ont déclaré à plusieurs reprises qu’il existait (ou qu’il existe) des versions plus anciennes du ver, mais jusqu’à présent personne n’avait jamais fourni de preuves.

Toujours est-il que ces suppositions étaient correctes. A la fin du mois de février, la société Symantec a publié une étude  sur une nouvelle « ancienne » version du ver : Stuxnet 0.5. Cette version était la plus ancienne des modifications connues de Stuxnet : elle fut active entre 2007 et 2009. De plus, elle possède des caractéristiques très curieuses : 

  • Tout d’abord, elle a été créée sur la même plateforme que Flame et non pas sur Tilded comme ce fut le cas pour les modifications ultérieures de Stuxnet.
  • Ensuite, le ver se propageait via l’infection de fichiers créés à l’aide de l’application de Simatic Step 7 et ne contenait aucun code d’exploitation pour les produits Microsoft :
  • Troisièmement, la propagation de Stuxnet 0.5 a été interrompue après le 4 juillet 2009.
  • Et enfin, c’est Stuxnet 0.5 qui offre la capacité de travailler avec les contrôleurs Siemens (cette fonction était incomplète dans les versions ultérieures du ver).

Les résultats de l’étude de Stuxnet 0.5 ont permis d’enrichir les informations relatives à ce programme malveillant. Il est fort probable que des informations complémentaires soient ajoutées à l’avenir. Il en va de même pour les exemplaires de cyberarmes et les outils de cyberespionnage détectés après Stuxnet. Il nous manque encore beaucoup d’informations à leur sujet.

Attaques ciblées

Attaques contre des activistes tibétains et ouïgours

Au cours du premier trimestre 2013, les attaques ciblées contre des activistes tibétains et ouïgours se sont poursuivies. Afin d’atteindre leurs objectifs, les auteurs des attaques ont exploité tous les moyens imaginables. Les utilisateurs de Mac OS X, de Windows et d’Android n’ont pas été épargnés.

En janvier-février, nous avons détecté une augmentation sensible du nombre d’attaques ciblées contre des Ouïgours adaptes de Mac OS X. Toutes ces attaques exploitaient la vulnérabilité CVE-2009-0563 qui avait été supprimée par Microsoft il y a près de 4 ans. Le code d’exploitation de cette vulnérabilité était diffusé via des documents MS Office facilement identifiable grâce à la valeur « captain » reprise pour le nom de l’auteur. Quand le code d’exploitation est exécuté, il télécharge une porte-dérobée pour Mac OS X sous la forme d’un fichier Mach-O. Il s’agit d’une petite porte dérobée dont les fonctionnalités sont très réduites : elle installe une autre porte dérobée ainsi qu’un programme qui vole des données personnelles (contacts).

Nous avions recensés des attaques contre ces mêmes activistes tibétains au milieu du mois de mars 2013. Cette fois-là, les auteurs de l’attaque avaient utilisé le code d’exploitation mentionné ci-dessus (utilisé déjà dans les attaques ItaDuke) pour déjouer le bac à sable dans Acrobat Reader X et infecter des ordinateurs ciblés.

A la fin du mois de mars 2013, des utilisateurs d’appareils Android avaient été également victimes de cette attaque. Après avoir obtenu accès à la boîte aux lettres de ce célèbre activiste tibétain, les auteurs de l’attaque ont envoyé en son nom des messages avec une pièce jointe au format APK qui était en réalité un programme malveillant pour Android (identifié sous le nom Backdoor.AndroidOS.Chuli.a par les logiciels de Kaspersky Lab).  Le programme malveillant signale discrètement au centre de commande que l’infection a réussi, puis commence à récolter des données dans l’appareil : contacts, journaux des appels, SMS, données GPS, informations relatives à l’appareil. Ensuite, le contact utilise le système Base64 pour chiffrer les données volées et il les envoie au centre de commande. Nous avons analysé ce serveur de commande et nous avons pu découvrir, au moins, que les auteurs de l’attaque parlent chinois.

Littéralement quelques jours après la publication des résultats de notre enquête, l’organisation de recherche The Citizen Lab a publié des documents relatifs à son enquête sur un incident similaire. Cette attaque visait également une personne en rapport d’une manière ou d’une autre avec le Tibet et les activistes tibétains et elle utilisait un programme malveillant à la fonctionnalité similaire (vol d’informations personnelles) mais qui était une version infectée du client de messagerie Kakao Talk.

Attaques contre des réseaux d’entreprise

Le premier trimestre aura malheureusement été riche en attaques contre des infrastructures d’entreprise et en vols de mots de passe. Parmi les entreprises victimes de telles attaques, citons Apple, Facebook, Twitter, Evernote, etc.

Au début du mois de février, Twitter a annoncé officiellement que des individus malintentionnés avaient réussi à voler des données (y compris, des caches de mots de passe) de 250 000 utilisateurs du réseau social. Deux semaines plus tard, c’était au tour d’employés de Facebook de signaler dans un blog que les ordinateurs de quelques employés avaient été infectés à l’aide de codes d’exploitation lors de la connexion à un site réservé aux télétravailleurs. Facebook affirme qu’il ne s’agissait pas d’une attaque ordinaire, mais bien d’une attaque ciblée et que l’objectif était de pénétrer dans le réseau de l’entreprise. Heureusement, à en croire les représentants de la société, Facebook est parvenu à éviter la fuite d’informations des utilisateurs.

Quelques jours après, Apple déclarait que les ordinateurs de quelques-uns de ses employés avaient été la cible d’une attaque similaire lors de l’accès à un site dédié aux télétravailleurs.   La société confirmait également qu’aucune fuite de données n’avait été enregistrée.

Et au début du mois de mars, la société Evernote a annoncé que 50 millions de mots de passe allaient être liquidés pour garantir la protection des données des utilisateurs. Evernote fut forcé de prendre cette décision suite à l’attaque contre son réseau interne et aux tentatives d’accès aux données déployées par les individus malintentionnés.

Nous avions observé en 2011 des attaques d’envergure contre des réseaux d’entreprise et d’importantes fuites de données personnelles. On aurait pu penser que de telles attaques avaient disparu, mais ce n’est pas le cas : les individus malintentionnés sont encore et toujours intéressés par les attaques contre les grandes sociétés et le vol de données confidentielles (dont les données relatives aux utilisateurs).

Programmes malveillants pour appareils nomades

Nous avons publié notre rapport 2012 sur le développement des menaces contre les smartphones et les tablettes en février 2013. D’après nos données, Android était devenu en 2012 la principale cible des auteurs de virus et le nombre de menaces au cours de cette année avait sensiblement augmenté. Cette augmentation s’est-elle maintenue au premier trimestre 2013 ? Il ne fait aucun doute que oui.

Bref survol statistique

C’est devenu une tradition, le mois de janvier est une période de repos pour les auteurs de virus pour appareils nomades : « seuls » 1 263 nouvelles versions de programmes malveillants ont été diffusées. Par contre, au cours des deux mois suivants, nous avons identifié plus de 20 000 nouveaux exemplaires de programmes malveillants pour appareils nomades. Ainsi, 12 044 modifications de programmes malveillants pour appareils nomades ont été recensées en février, et 9 443 en mars. A titre de comparaison, pour l’ensemble de l’année 2012, nous avions détecté 40 059 échantillons de programmes malveillants pour appareils nomades.

Les chevaux de Troie qui envoient, à l’insu de l’utilisateur, des SMS à des numéros surtaxés figurent toujours en tête des catégories des programmes malveillants les plus répandus avec 63,6 % des attaques.

99,9 % des nouveaux programmes malveillants pour appareils nomades détectés visent Android.

D’après les données du KSN, le Top 20 des programmes malveillants pour appareils nomades et des programmes potentiellement indésirables pour Android préférés des individus malintentionnés est le suivant :

Classement Nom % de l’ensemble des attaques
 1        Trojan-SMS.AndroidOS.FakeInst.a  29,45%  
 2        Trojan.AndroidOS.Plangton.a      18,78%  
 3        Trojan-SMS.AndroidOS.Opfake.a    12,23%  
 4        Trojan-SMS.AndroidOS.Opfake.bo    11,49%  
 5        Trojan-SMS.AndroidOS.Agent.a      3,43%  
 6        Trojan-SMS.AndroidOS.Agent.u      2,54%  
 7        RiskTool.AndroidOS.AveaSMS.a      1,79%  
 8        Monitor.AndroidOS.Walien.a        1,60%  
 9        Trojan-SMS.AndroidOS.FakeInst.ei          1,24%  
 10        Trojan-SMS.AndroidOS.Agent.aq    1,10%  
 11        Trojan-SMS.AndroidOS.Agent.ay    1,08%  
 12        Trojan.AndroidOS.Fakerun.a        0,78%  
 13        Monitor.AndroidOS.Trackplus.a    0,75%  
 14        Adware.AndroidOS.Copycat.a        0,69%  
 15        Trojan-Downloader.AndroidOS.Fav.a        0,66%  
 16        Trojan-SMS.AndroidOS.FakeInst.ee          0,55%  
 17        HackTool.AndroidOS.Penetho.a      0,54%  
 18        RiskTool.AndroidOS.SMSreg.b      0,52%  
 19        Trojan-SMS.AndroidOS.Agent.aa    0,48%  
 20        HackTool.AndroidOS.FaceNiff.a    0,43%  

La première position revient à Trojan-SMS.AndroidOS.FakeInst.a (29,45 %). Ce programme malveillant vise principalement les utilisateurs russophones qui tentent de télécharger des applications pour leur appareil Android depuis des sites douteux. Bien souvent, les individus malintentionnés utilisent ces sites pour diffuser leurs programmes malveillants sous les traits d’applications utiles.

Le cheval de Troie publicitaire Trojan.AndroidOS.Plangton.a occupe la deuxième position (18,78 %). Il est diffusé principalement dans des pays européens et est utilisé par les diffuseurs de logiciels gratuits qui souhaitent gagner de l’argent en affichant des publicités.

Des chevaux de Troie SMS de la famille Opfake occupent les 3e et 4e positions : Trojan-SMS.AndroidOS.Opfake.a (12,23 %) et Trojan-SMS.AndroidOS.Opfake.bo (11,49 %). Les premières modifications des programmes malveillants de la famille Opfake se dissimulaient sous les traits d’une nouvelle version du célèbre navigateur Opera pour appareils nomades. Aujourd’hui, les programmes de cette famille se présentent sous les traits de nouvelles versions de logiciels très utilisés (Skype, Angry Birds, etc.).

Incidents

Dans le domaine des appareils nomades, nous aimerions retenir au moins deux incidents parmi ceux survenus au premier trimestre 2013 :

  • le nouveau programme malveillant baptisé Perkele ou Perkel qui vole les codes mTAN et le
  • réseau de zombies MTK.

Nous avons déjà évoqué ci-dessus un autre de ces incidents importants, à savoir les attaques ciblées contre des utilisateurs d’Android.

Perkel

Au cours de la première quinzaine du mois de mars, le célèbre journaliste Brian Krebs a découvert sur des forums russophones clandestins des informations relatives à un nouveau cheval de Troie bancaire pour appareils mobiles qui visait les utilisateurs dans 69 pays et qui avait déjà réussi à infecter un nombre non négligeable d’appareils à travers le monde. D’après les suppositions de Brian Krebs, ce programme aurait été créé par des russophones car les outils utilisés sont diffusés via des forums russophones.

De telles informations attirent bien sûr l’attention des experts des éditeurs de logiciels antivirus, mais jusqu’à ce moment là, personne n’avait pu mettre la main sur des exemplaires de ce programme malveillant.

Quelques jours plus tard, les premières modifications de Perkel étaient détectées. A l’issue de l’analyse que nous avons menée, nous avons pu constater que le groupe de programmes malveillants dont l’objectif principal était le vol des SMS envoyés par les banques et contenant les codes mTAN avait été enrichi. La fonction de Perkel n’a rien d’inhabituel pour les programmes de cette catégorie, si ce n’est à deux exceptions près : 

  1. Pour communiquer avec le serveur de commande et télécharger les informations volées (outre les SMS avec le code mTAN, le programme malveillant récolte également des informations à propos de l’appareil), Perkel n’utilise pas les SMS, mais bien HTTP.
  2. Le programme malveillant est capable de se mettre à jour en téléchargeant sa nouvelle version depuis un serveur distant.

Réseau de zombies MTK

Vers le milieu du mois de janvier, des messages relatifs à l’existence d’un réseau de zombies comptant un million d’appareils Android, appartenant pour la plupart à des Chinois, ont commencé à circuler. Ce réseau était impliqué dans la diffusion, en Chine, d’un programme malveillant détecté par Kaspersky Lab sous le nom Trojan.AndroidOS.MTK. Cette diffusion s’opère via des magasins d’applications en ligne non officiels en Chine avec des versions piratées de jeux très répandus. Outre le vol des informations relatives au smartphone, des contacts et des messages, les programmes malveillants de cette famille augmentent artificiellement la popularité d’applications distinctes. Pour ce faire, les chevaux de Troie téléchargent et installent, à l’insu de l’utilisateur, des applications sur l’appareil de la victime et attribuent également la note maximale dans l’évaluation de cette application sur le site du magasin. Ensuite, ils signalent les opérations réalisées au serveur distant. Le nombre d’applications pour Android ne cesse d’augmenter et dans ces conditions, il est difficile pour un éditeur de se faire remarquer dans la masse. C’est la raison pour laquelle ces méthodes illégales pour augmenter la popularité d’une application sont de plus en plus répandues.

Rappel des certificats de TurkTrust

Un nouvel incident impliquant les certificats racine a été enregistré au premier trimestre 2013. Les sociétés Microsoft, Mozilla et Google ont simultanément révoqués deux certificats racine du centre TurkTrust dans la base livrée avec leurs navigateurs.

Il semblerait que le centre de certification TurkTrust aurait émis en août de l’année dernière des certificats racine de niveau secondaire à deux organisations au lieu des certificats SSL traditionnels. Ils peuvent être utilisés pour créer des certificats SSL pour n’importe quel site sur Internet et les navigateurs des utilisateurs les considèreront comme des certificats de confiance.

En décembre, la société Google avait découvert qu’un des certificats SSL émis au nom de TurkTrust pour *.google.com avait été impliqué dans des attaques de type « man-in-the-middle ». Naturellement, l’attaque contre les services de Google n’exclut pas la possibilité que d’autres certificats, délivrés de la même manière, n’aient pas été utilisés dans le cadre d’attaques contre les services d’autres sociétés.

Ce nouvel incident impliquant les certificats racine et les questions de confiance envers ceux-ci a démontré que la problématique de l’utilisation malveillante de certificats légitimes est toujours d’actualité. Mais pour l’instant, ce n’est qu’après les attaques que l’on se rend compte de l’utilisation malveillante de ces certificats car il n’existe actuellement aucun moyen de prévenir de tels incidents.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN) suite au fonctionnement de divers composants chargés de la protection contre les programmes malveillants. Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des programmes malveillants.

Menaces sur Internet

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger un code malveillant depuis une page infectée. Cette page infectée peut être un site créé spécialement par les individus malintentionnés, des sites dont le contenu est fourni par les utilisateurs (par exemple, des forums) ou une ressource légitime compromise.

Objets détectés sur Internet

Au premier trimestre 2013; les solutions de Kaspersky Lab ont repoussé 821 379 647attaques organisées depuis des ressources Internet dans différents pays.

Top 20 des objets détectés sur Internet

Classement Nom* % de l’ensemble des attaques**
 1        Malicious URL    91,44%  
 2        Trojan.Script.Generic    2,79%  
 3        AdWare.Win32.Bromngr.b    1,91%  
 4        Trojan.Script.Iframer    0,73%  
 5        Exploit.Script.Blocker    0,70%  
 6        Trojan.JS.Redirector.xa  0,33%  
 7        Hoax.SWF.FakeAntivirus.i          0,22%  
 8        Trojan.Win32.Generic      0,17%  
 9        AdWare.Win32.MegaSearch.am        0,13%  
 10        Trojan-Downloader.Win32.Generic  0,09%  
 11        Exploit.Script.Blocker.u          0,07%  
 12        AdWare.Win32.IBryte.heur          0,05%  
 13        Exploit.JS.Retkid.a      0,05%  
 14        Exploit.Script.Generic    0,05%  
 15        Hoax.HTML.FraudLoad.i    0,04%  
 16        Exploit.Win32.CVE-2011-3402.c    0,04%  
 17        Packed.Multi.MultiPacked.gen      0,04%  
 18        Trojan-Clicker.HTML.Agent.bt      0,04%  
 19        WebToolbar.Win32.BetterInstaller.gen      0,03%  
 20        Trojan.JS.Redirector.xb  0,03%  

       

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques.**Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

La première place du Top 20 des objets détectés est une fois de plus occupée par des liens malveillants de la liste noire. Par rapport au quatrième trimestre 2012, leur part a augmenté de 0,5% et représentait 91,4 % de l’ensemble des détections de l’Antivirus Internet. Il faut également signaler que le recours aux moyens du KSN pour la livraison de mises à jour ponctuelles sur les ordinateurs des utilisateurs via le nuage nous a permis de bloquer 6,6 % des liens malveillants. Ces liens menaient à des sites compromis ou créés récemment par des individus malintentionnés auxquels les utilisateurs commençaient déjà à accéder.

Le Top 5 des objets détectés comprend une fois de plus les verdicts Trojan.Script.Generic (2e position) и Trojan.Script.Iframer (4e position). Ces objets malveillants sont bloqués lors des tentatives d’attaques par téléchargement à la dérobée qui sont devenues une des méthodes d’infection les ordinateurs les plus répandues.

Cela fait déjà quelque mois que Hoax.HTML.FraudLoad.i figure dans le Top 20. Ce trimestre, il a occupé la 15e position. Cette menace concerne principalement les utilisateurs qui aiment télécharger des films, des séries ou des applications depuis des ressources douteuses.  Les pages sur lesquelles les utilisateurs peuvent télécharger le contenu qu’ils recherchent sont détectées sous le nom Hoax.HTML.FraudLoad. Avant de pouvoir y accéder, ils doivent envoyer un SMS payant et saisir leur numéro de téléphone mobile pour souscrire à l’abonnement payant. Si l’utilisateur suit les instructions, au lieu du contenu recherché, il recevra soit un fichier texte expliquant comment utiliser les moteurs de recherche, soit un programme malveillant, ce qui est bien pire.

Le code d’exploitation Exploit.Win32.CVE-2011-3402.c a reculé jusqu’en 16e position. Il exploite une vulnérabilité dans la librairie win32k.sys (TrueType Font Parsing Vulnerability). Pour rappel, c’est cette même vulnérabilité qui avait permis de diffuser Duqu.

Top 20 des pays dont les ressources hébergent les programmes malveillants

Ces statistiques indiquent les pays dans lesquels se trouvent physiquement les sites d’où sont téléchargés les programmes malveillants. Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

81 % des sites Internet utilisés pour la diffusion de programmes malveillants sont répartis entre 10 pays. Cet indice a reculé de 5 points de pour cent au cours des derniers 6 mois : de 3 % au premier trimestre 2013 et de 2 % au quatrième trimestre 2012. 

 
Répartition par pays des sites Internet qui hébergent les programmes malveillants, premier trimestre 2013

La Russie (19 %, -6 %) et les Etats-Unis (25 %, +3 %) ont à nouveau permuté de position dans le classement et les Etats-Unis ont récupéré la première position. Par rapport au quatrième trimestre 2012, la part des autres pays n’a pratiquement pas changé.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé la fréquence de déclenchement de l’Antivirus Internet chez les utilisateurs des logiciels de Kaspersky Lab dans chacun des pays au cours du trimestre.

 
Top 20 des pays où le risque d’infection des ordinateurs via Internet est le plus élevé**, premier trimestre 2013

*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Par rapport au quatrième trimestre 2012, les 10 premiers pays dont les habitants sont le plus souvent confrontés à des programmes malveillants  n’ont pratiquement pas changé : il s’agit principalement de pays de l’ex-URSS. La Russie occupe la 3e position avec 57 %. Par contre, on observe des modifications de la 11e à la 20 : au premier trimestre 2013, la Tunisie (43,1 %) et l’Algérie (39 %) ont fait leur entrée dans le classement. Le seul pays d’Europe de l’Ouest présent dans le TOP20 est l’Italie (39,9 %, 116e position).

Nous pouvons répartir les pays en plusieurs groupes.

  1. Groupe à risque maximum. Pays où plus de 60 pour cent des utilisateurs ont été confrontés au moins une fois à des programmes malveillants sur Internet. Au premier trimestre 2013, ce groupe ne contenait que le Tadjikistan 60,4 %.
  2. Groupe à risque élevé. Ce groupe dont l’indice de risque est compris entre 41et 60 % reprend 13 pays du Top 20 (soit le même nombre qu’au quatrième trimestre 2012). A l’exception du Viet Nam, de la Tunisie et du Sri Lanka qui clôturent la liste, celle-ci reprend uniquement des pays de l’espace post-soviétique, dont l’Arménie (59,5 %), la Russie (57 %), le Kazakhstan (56,8 %), l’Azerbaïdjan (56,7 %), la Bélarus (49,9 %) et l’Ukraine (49 %).
  3. Groupe à risque. Ce groupe où le risque est compris entre 21 et 40 % reprend 102 pays dont l’Italie (39,9 %), l’Allemagne (35,8 %), la Belgique (33,8 %), le Soudan (33,1%), l’Espagne (32,5 %), le Qatar (31,9 %), les Etats-Unis (31,6%), l’Irlande (31,5%), l’Angleterre (30,2 %), Les Emirats arabes unis (28,7 %) et les Pays-Bas (26,9 %).
  4. Groupe des pays les plus sûrs en terme de navigation sur Internet. Au premier trimestre 2013, ce groupe reprenait 28 pays où l’indice de sécurité est compris entre 12,5 et 21 %. Le pourcentage le plus faible (moins de 20 %) d’utilisateurs victimes d’attaques pendant la navigation sur Internet est enregistré en Afrique où Internet n’est pas encore vraiment développé. Les exceptions sont le Japon (15,6 %) et la Slovaquie (19,9 %).


Risque d’infection des ordinateurs des utilisateurs via Internet dans divers pays, premier trimestre 2013

En moyenne, 39,1% des ordinateurs des participants au KSN ont été victimes au moins d’une attaque lors de la navigation sur Internet au cours du trimestre. Nous tenons à signaler que la part des ordinateurs attaqués par rapport au 4e trimestre 2012 a reculé de 1,5 %.

Menaces locales

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

Objets découverts sur les ordinateurs

Au premier trimestre 2013, nos solutions antivirus ont bloqué 490 966 403 tentatives d’infection locales sur les ordinateurs d’utilisateurs membres du Kaspersky Security Network.

Top 20 des objets découverts sur les ordinateurs Internet

Classement Nom % d’utilisateurs uniques attaqués*
 1        DangerousObject.Multi.Generic    18,51%  
 2        Trojan.Win32.Generic      16,04%  
 3        Trojan.Win32.AutoRun.gen          13,60%  
 4        Virus.Win32.Sality.gen    8,43%  
 5        Exploit.Win32.CVE-2010-2568.gen  6,93%  
 6        Trojan.Win32.Starter.yy  5,11%  
 7        Net-Worm.Win32.Kido.ih    3,46%  
 8        HiddenObject.Multi.Generic        3,25%  
 9        Trojan.Win32.Hosts2.gen  3,17%  
 10        Virus.Win32.Nimnul.a      3,13%  
 11        Virus.Win32.Generic      3,09%  
 12        Net-Worm.Win32.Kido.ir    2,85%  
 13        Trojan.Script.Generic    2,54%  
 14        AdWare.Win32.Bromngr.b    2,51%  
 15        Exploit.Java.CVE-2012-1723.gen    2,38%  
 16        Trojan.Win32.Starter.lgb          2,38%  
 17        Trojan-Downloader.Win32.Generic  2,13%  
 18        AdWare.Win32.Bromngr.h    2,11%  
 19        Hoax.Win32.ArchSMS.gen    2,09%  
 20        Trojan-Dropper.VBS.Agent.bp      1,97%  

       

Ces statistiques sont les verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques. * Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

A l’instar du trimestre précédent, trois verdicts mènent ce classement avec une grande longueur d’avance.

Les programmes malveillants DangerousObject.Multi.Generic, détectés à l’aide des technologies du nuage, ont décroché la première place au premier trimestre 2013 avec 18,51 %, soit une progression de 1,8 % par rapport au 4e trimestre 2012. Les technologies dans le nuage interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais Kaspersky Lab dispose déjà dans le « nuage » d’informations relatives à l’objet. En général, c’est ainsi que sont détectés les programmes malveillants les plus récents.

Trojan.Win32.Generic (16 %) en deuxième position est un verdict obtenu par analyse heuristique lors de la détection proactive d’une multitude de programmes malveillants. Trojan.Win32.AutoRun.gen (13,6 %) occupe la troisième position.  Ceci désigne les programmes malveillants qui utilisent le lancement automatique.

Les logiciels publicitaires de la famille AdWare.Win32.Bromngr en fait leur entrée en 8e position au 4e trimestre 2012. Au premier trimestre 2013, ils occupent 2 positions du Top 20 (14e et 18e). Toutes les modifications de ces modules publicitaires sont des bibliothèques DLL qui sont des extensions de navigateurs très utilisés (Internet Explorer, Mozilla Firefox, Google Chrome). Comme la grande majorité des programmes similaires, ce module modifie les paramètres de recherche de l’utilisateur, la page d’accueil et affiche à intervalle régulier des fenêtres de publicité contextuelle.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Les chiffres fournis ci-dessous montrent le taux d’infection moyen des ordinateurs dans un pays ou l’autre. Au moins un ordinateur sur trois (31,4 %) des utilisateurs de KSN qui nous ont transmis ces données contenait un fichier malveillant, soit sur le disque dur ou su un disque amovible connecté. Ce chiffre est toutefois en recul de 0,8% par rapport au trimestre précédent.

 
TOP 20 des pays* selon le niveau d’infection des ordinateurs**, premier trimestre 2013

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.* *Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Pour le 4e trimestre consécutif, les 20 premières places du classement sont occupées par des pays d’Afrique, du Moyen-Orient et du Sud-Est asiatique. Au Bangladesh, pays leader du classement, la part d’ordinateurs présentant un code malveillant qui a été bloqué a à nouveau reculé, cette fois-ci de 11,8 %, pour atteindre 67,8 %. (A l’issue du troisième trimestre 2012, cet indice était de 90,9 %)

Dans le cas des infections locales, nous pouvons également regrouper les pays en fonction du niveau d’infection :

  1. Niveau maximum d’infection (supérieur à 60%) : à l’issue du premier trimestre 2013, ce groupe ne compte que deux pays : le Bangladesh (67,8 %) et le Viet Nam (60,2 %).
  2. Niveau d’infection élevé (41 à 60 %) : 41 pays dont l’Irak (50,9 %), la Syrie (45,5 %), le Myanmar (44,5 %), l’Angola (42,3 %) et l’Arménie (41,4 %).
  3. Niveau d’infection moyen (21 à 40 %) : 60 pays dont la Chine (37,6 %), le Qatar (34,6 %), la Russie (34,3 %), l’Ukraine (33,6 %), le Liban (32,4 %), la Croatie (26,1 %), l’Espagne (26%), l’Italie (23,8 %), la France (23,4 %) et Chypre (23,3 %).
  4. Niveau d’infection moyen (jusqu’à 21 %) : 31 pays dont la Belgique (19,3 %), les Etats-Unis (19 %), la Grande-Bretagne  (18,6 %), l’Australie (17,5 %), l’Allemagne (17,7 %), l’Estonie (17,8 %), les Pays-Bas (16,2 %), la Suède (14,6 %), le Danemark (12,1 %) et le Japon (9,1 %).


Risque d’infection locale des ordinateurs dans divers pays, premier trimestre 2013

Voici le Top 10 des pays les plus sûrs en matière d’infection locale :

    Japon       9,10%  
 Danemark    12,10%  
 Finlande        13,60%  
 Suède    14,60%  
 République tchèque    14,80%  
 Suisse        15,10%  
 Irlande          15,20%  
 Pays-Bas        16,20%  
 Nouvelle-Zélande    16,60%  
 Norvège          16,80%  

       

Par rapport au quatrième trimestre 2012, cette liste compte deux nouveaux pays, à savoir les Pays-Bas et la Norvège qui remplacent le Luxembourg et Porto-Rico.

Vulnérabilités

Au cours du premier trimestre 2013, 30 901 713 applications et fichiers vulnérables ont été recensés sur les ordinateurs des utilisateurs membres du KSN. Nous avons découvert en moyenne 8 vulnérabilités différentes pour chaque ordinateur vulnérable.

Le tableau ci-dessous reprend dix des vulnérabilités les plus répandues.

    №    Secunia ID – Unique vulnerability number           Nom            Conséquences de l’exploitation         Pourcentage d’utilisateurs chez qui une vulnérabilité a été découverte* Date de publication Niveau de danger
    1        SA 50949          Oracle Java Multiple Vulnerabilities         Attaque DoS Accès au système Divulgation de données confidentielles Manipulation de données  45,26%    17.10.2012        Highly Critical
    2        SA 51771          Adobe Flash Player / AIR Integer Overflow Vulnerability     Accès au système          22,77%    08.01.2013        Highly Critical
    3        SA 51090          es Adobe Shockwave Player Multiple Vulnerabilities     Accès au système          18,19%    24.10.2012        Highly Critical
    4        SA 51280          Oracle Java Two Code Execution Vulnerabilities       Accès au système          17,15%    10.01.2013        Extremely Critical      
    5        SA 47133          Adobe Reader/Acrobat Multiple Vulnerabilities       Accès au système          16,32%    07.12.2011        Extremely Critical      
    6        SA 51692          VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities       Accès au système          14,58%    28.12.2012        Highly Critical
    7        SA 51226          Apple QuickTime Multiple Vulnerabilities     Accès au système          14,16%    08.11.2012        Highly Critical
    8        SA 43853          Google Picasa Insecure Library Loading Vulnerability         Accès au système          12,85%    25.03.2011        Highly Critical
    9        SA 46624          Winamp AVI / IT File Processing Vulnerabilities     Accès au système          11,30%    03.08.2012        Highly Critical
    10        SA 41917          Adobe Flash Player Multiple Vulnerabilities Ataque DoS, Accès au système, Publicación de datos confidenciales, Evasión del sistema de seguridad  11,21%    28.10.2010        Extremely Critical      

*Pour 100 % des utilisateurs dont les ordinateurs présentaient ne seraient ce qu’une vulnérabilité.

Les vulnérabilités les plus répandues concernent Java. Elles ont été détectées sur 45,26 % des ordinateurs. En queue du classement, nous retrouvons une vulnérabilité dans Adobe Flash Player relativement ancienne, mais très dangereuse. Bien que la détection de cette vulnérabilité remonte à octobre 2010, elle est toujours présente sur 11,21 % des ordinateurs vulnérables.

Les cinq premières positions sont occupées par des vulnérabilités pour Oracle et Adobe et comme nous l’avons déjà dit, la vulnérabilité en dernière position concerne également Adobe. De la 6ème  à la 9ème  position, nous retrouvons des vulnérabilités dans les applications très utilisées de divers éditeurs.


Editeurs de logiciels contenant des vulnérabilités du Top 10, premier trimestre 2013

L’exploitation de n’importe quelle vulnérabilité du TOP 10 entraîne l’exécution d’un code aléatoire sur le système.


Répartition des vulnérabilités du Top 10 par type d’effet sur le système

Ce genre de vulnérabilités est toujours très apprécié des individus malintentionnés et les codes d’exploitation associés coûtent plus cher que la majorité des autres sur le marché noir.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *