Développement des menaces informatiques au premier trimestre 2015

Chiffres du trimestre

  • D’après les données de KSN, au premier trimestre 2015, les produits de Kaspersky Lab ont bloqué  2 205 858 791 attaques malveillantes menées contre des ordinateurs et des appareils nomades.
  • Les solutions de Kaspersky Lab ont déjoué 469 220 213 attaques organisées depuis divers sites répartis à travers le monde.
  • Notre antivirus Internet a détecté 28 483 783 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).
  • 93 473 068 URL uniques ayant provoqué un déclenchement de l’antivirus Internet ont été recensées.
  • 40% des attaques Internet bloquées par nos produits ont été organisées depuis des ressources malveillantes situées en Russie.
  • 253 560 227 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers.
  • Les solutions de Kaspersky Lab pour la protection des appareils nomades ont détecté les éléments suivants :
    • 147 835 paquets d’installation ;
    • 103 072 nouveaux malwares pour appareils nomades ;
    • 1 527 Trojans-Bankers pour appareils nomades

Survol de la situation

Les APT d’Equation parmi les attaques les plus sournoises

Une des informations qui aura fait probablement le plus de bruit au premier trimestre portait sur la puissante structure cybercriminelle Equation spécialisée dans le cyberespionnage. Cela fait plusieurs années qu’elle coopère avec d’autres structures importantes comme celles qui se cachent derrière Stuxnet et Flame. Les attaques organisées par Equation sont probablement les plus sournoises : un des modules permet de modifier le micrologiciel des disques durs. Depuis 2011, la structure Equation a réussi à infecter les ordinateurs de milliers de victimes en Iran, en Russie, en Syrie, en Afghanistan, aux Etats-Unis et dans d’autres pays. Les victimes travaillent dans des institutions gouvernementales ou diplomatiques, dans le secteur des télécommunications, de l’aérospatiale, de l’énergie, etc.

Ce groupe utilise une multitude de malwares, dont certain sont plus complexes que la célèbre plateforme "Regin". Parmi les méthodes de propagation et d’infection connues, citons l’utilisation du vers USB Fanny (il comptait deux vulnérabilités 0jour qui ont été utilisées par la suite dans Stuxnet), la présence de programmes d’installation malveillants sur des CD ou le recours à des codes d’exploitation Internet.

Carbanak, la cybercampagne qui a le mieux réussi

Au printemps 2014, Kaspersky Lab fut impliquée dans une enquête criminelle :  les distributeurs automatiques de billets d’une banque distribuaient de l’argent sans l’intervention physique de la personne qui se trouvait devant le distributeur. C’est ainsi que débuta l’enquête sur la campagne Carbanak et le malware du même nom.

Carbanak est une backdoor développée au départ sur la base du code de Carberp.  Ce malware permet de réaliser des opérations d’espionnage, de récolter des données et d’offrir un accès à distance à l’ordinateur infecté. Dès que les individus malveillants avaient pu accéder à un ordinateur quelconque, ils balayaient le réseau en vue de poursuivre la propagation et d’infecter des systèmes critiques tels que des systèmes de traitement, de comptabilité ou des distributeurs automatiques.

Nous avons identifié trois méthodes utilisées par les individus malintentionnés pour retirer l’argent des organisations financières :

  1. via les distributeurs automatiques de billets ;
  2. via des virements vers les comptes des cybercriminels via le réseau SWIFT ;
  3. via la modification du contenu de bases de données dans le but de créer des comptes fictifs qui étaient ensuite vidés par des mules.

L’infection se produisait selon un scénario traditionnel pour les attaques APT : les individus malveillants organisaient des attaques de phishing ciblées dans le cadre desquelles ils diffusaient les messages contenant le document avec le code d’exploitation. Les messages étaient rédigés de manière à ne pas éveiller de soupçons et dans certains cas, ils provenaient même d’adresses d’autres employés de la société attaquée.

D’après les estimations de Kaspersky Lab, cette structure aurait frappé près de 100 organisations financières, principalement en Europe de l’Est. Les pertes totales provoquées par ce malware pourraient atteindre 1 milliard de dollars américains, ce qui ferait de Carbanak la campagne cybercriminelle la plus rentable que nous connaissions.

Desert Falcon : attaque au Proche-Orient

Dans le cadre de l’analyse d’un incident survenu au Proche-Orient, les experts de Kaspersky Lab ont mis à jour l’activité d’une structure inconnue jusque là qui organisait des attaques ciblées. Ce groupe, baptisé Faucon du désert (Desert Falcon), est la première structure arabe à organiser des opérations de cyberespionnage motivées, selon toute vraisemblance, par la situation politique dans la région.

Les premiers signes d’activité de Desert Falcon remontent à 2011, les premières infections connues datent de 2013 et le groupe a enregistré son pic d’activité entre la fin 2014 et le début 2015. On sait que les membres de cette structure ne sont pas des débutants car ils ont développé à partir de zéro des malwares pour Windows et Android et ils ont organisé de main de maître une attaque qui a reposé sur des messages de phishing, de faux sites Internet et de faux utilisateurs de réseaux sociaux. 

Les victimes de ce groupe se trouvent principalement en Palestine, en Egypte, en Israel et en Jordanie. On y trouve des activistes et des leaders politiques, des institutions civiles et militaires, des médias, des institutions financières ainsi que d’autres organisations. A ce jour, 3 000 victimes ont été recensées et les attaquants ont réussi à voler plus d’un million de fichiers et de documents.

Outre les diffusions de messages ciblés sournoises et minutieusement préparées dans le but d’infecter le poste de travail des victimes, Desert Falcon recourt à une méthode supplémentaire : l’ingénierie sociale sur Facebook. Les attaquants ont créé des comptes spéciaux pour entamer une conversation avec la victime, gagner sa confiance, puis envoyer par le chat un malware sous les traits d’une image.  Et lorsqu’ils voulaient organiser une infection à plus grande échelle, ils publiaient des liens malveillants sur les réseaux sociaux au nom de comptes compromis d’hommes politiques ou de faux comptes.

APT Animal Farm

En mars 2014, le journal français Le Monde publiait un article consacré à un outil de cyberespionnage détecté par le Centre de la sécurité des télécommunications du Canada (CSEC).  L’outil décrit avait été utilisé dans le cadre de l’opération Snowglobe qui visait des journaux canadiens francophones, la Grèce, la France, la Norvège et certains pays d’Afrique. Sur la base des résultats de l’analyse qu’il avait réalisée, le CSEC avait émis l’hypothèse selon laquelle les services secrets français étaient à l’origine de cette campagne.

Au début de l’année 2015, des chercheurs ont publié une analyse de certains malwares (1, 2, 3) qui partageaient des points communs avec les malwares de l’opération Snowglobe. Pour être plus précis, ils avaient identifié des échantillons contenant le nom interne Babar, qui était le nom du programme évoqué dans la présentation du CSEC.

A l’issue de l’analyse des malwares de cette campagne et après avoir établi le lien qui les unissaient, les experts de Kaspersky Lab ont désigné Animal Farm comme la structure à l’origine de la campagne.  Sur trois vulnérabilités 0jour détectées par Kaspersky Lab en 2014 et utilisées dans le cadre de cyberattaques, deux avaient été adoptées par ce groupe. Ainsi, une attaque menée depuis le site compromis du ministère de la Justice de Syrie à l’aide des codes d’exploitation de la vulnérabilité CVE-2014-0515 entraînait le téléchargement d’un des outils d’Animal Farm baptisé Casper.

Parmi les particularités intéressantes de cette campagne, il y a le programme NBOT, développé pour l’organisation d’attaques DDoS, une fonction rarement utilisée chez les groupes APT traditionnels. De même, un des membres de la "ménagerie" porte l’étrange nom de Tafacalou. Il pourrait s’agir d’un mot en occitan, qui est un dialecte parlé en France.

Upatre – et la diffusion active du malware bancaire Dyre/Dyreza

A l’issue du 1er trimestre 2015, Upatre occupe la tête du classement des Trojans-Bankers. Il permet de télécharger le malware financier Dyre, connu également sous le nom de Dyreza. Ce Trojan-Banker a fait son apparition en 2014 et vise les clients de différentes organisations financières. Il vole les informations relatives au paiement en contournant la connexion SSL sécurisée. De plus, le malware est doté d’une fonction d’accès à distance qui permet à l’attaquant de réaliser manuellement une transaction au nom de l’utilisateur du service de banque électronique.

Les utilisateurs reçoivent le downloader Upatre via des messages non sollicités qui, pour la plupart, ressemblent à des messages légitimes d’institutions financières. Parmi les banques attaquées par le Trojan-Banker Dyre téléchargé via Upatre, citons Bank of America, Natwest, Citibank, RBS et Ulsterbank. Les chercheurs signalent que la zone d’activité principale de Dyre à l’heure actuelle est la Grande-Bretagne.

PoSeidon, attaques contre des terminaux de point de vente

Un nouvel exemplaire d’un Trojan-Banker qui attaque des terminaux point de vente a été détecté. PoSeidon balaie le contenu de la mémoire vive du terminal point de vente à la recherche d’informations relatives aux paiements stockées en clair et les envoie aux individus malintentionnés.

Des chercheurs de Cisco Security Solutions ont mis en évidence trois composants d’un malware qui, selon toute vraisemblance, sont liés à PoSeidon : il s’agit d’un enregistreur de frappes, d’un downloader et du scanner de la mémoire vive qui est doté également d’une fonction d’enregistrement des frappes au clavier. L’enregistreur de frappes vise à voler les informations d’authentification des utilisateurs de l’application d’accès à distance LogMeIn. Il supprime tout d’abord les mots de passe chiffrés et les profils de LogMeIn afin d’obliger l’utilisateur à les saisir de nouveau. Les chercheurs pensent que cet enregistreur de frappes permet de voler les données initiales d’accès à distance qui permettront de compromettre les systèmes PoS et d’installer PoSeidon.

Une fois que l’attaquant a obtenu l’accès au terminal point de vente, il y installe un downloader qui télécharge le scanner FindStr depuis ses serveurs de commande. Ce dernier permet de rechercher dans la mémoire vive du terminal point de vente des lignes déterminées qui correspondent aux numéros de carte. Le scanner est intéressant dans le sens où il recherche uniquement les numéros de cartes qui commencent par une série de chiffres précise.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN) suite au fonctionnement de divers composants chargés de la protection contre les malwares. Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange international d’informations sur l’activité des malwares.

Menaces sur les appareils nomades

Le développement principal dans l’évolution des malwares pour appareils nomades est lié à la rentabilisation : les auteurs de virus cherchent à ce que leurs créations puissent obtenir l’argent et les données bancaires des utilisateurs de différentes manières.

De plus en plus de Trojans-SMS sont dotés d’une fonction d’attaque contre les comptes en banque des victimes. Ainsi, Trojan-SMS.AndroidOS.OpFake.cc est désormais en mesure d’attaquer 29 applications bancaires et financières.

Des membres de la catégorie Trojan-SMS ont également commencé à utiliser une fonction de chantage. Pour obtenir les données de la carte bancaire de la victime, Trojan-SMS.AndroidOS.FakeInst.ep utilise des astuces propres à un programme de chantage : la seule manière de fermer les fenêtres ouvertes par le malware consiste à saisir ces données.

L’utilisateur reçoit un message prétendument envoyé par Google qui l’invite à ouvrir Google Wallet et à confirmer le compte en saisissant les données de sa carte de crédit (il est intéressant de savoir que la lutte contre la cybercriminalité est une une des explications fournies pour justifier ces actions.) Il est impossible de supprimer la fenêtre tant que la victime ne saisit pas ces données.

A l’instar des Trojan-SMS, les Trojans espions se modifient eux-aussi et sont capables de réaliser des attaques contre les comptes en banque des victimes. Ainsi, Trojan-Spy.AndroidOS.SmsThief.ay est désormais en mesure d’attaquer 5 applications bancaires et financières.

Il se fait que les malwares pour appareils nomades que les individus malintentionnés exploitent pour voler l’argent de leurs victimes sont de plus en plus souvent multifonctionnels. Désormais, le vol d’argent sur les comptes en banque des utilisateurs via une attaque menée contre une application de service de banque électronique n’est plus à la seule portée des Trojans-Bankers. Ces opérations peuvent également être réalisées par des Trojans-SMS, voire des Trojans espions. Ceci explique peut-être pourquoi le nombre de Trojans-Bankers pour appareils nomades détecté au cours du premier trimestre 2015 a été relativement faible.

Au cours des trois premiers mois de l’année 2015, 23,2 % des nouvelles menaces pour appareils nomades étaient des malwares développés pour voler ou extorquer l’argent des utilisateurs (Trojan-SMS, Trojans-Bankers et Trojans de chantage). Ces trois types de malware sont extrêmement dangereux et l’intérêt des auteurs de virus pour l’argent des victimes est un stimulant pour leur développement. 

Nouveautés du trimestre

  1. Le Trojan-Banker Trojan-Banker.AndroidOS.Binka.d a évolué. Il est désormais doté d’une fonction de "surveillance" des victimes. L’audio est enregistré via le micro et enregistré dans un fichier qui est envoyé sur le serveur des individus malintentionnés.
  2. La technique de l’application de correctif et d’insertion du code malveillant est devenue une des principales méthodes de propagation des Trojans. Ainsi, Trojan-SMS.AndroidOS.Chyapo.a a été introduit dans l’application Unity Launcher Free. La différence entre les versions saine et infectée de l’application est visible uniquement grâce à l’apparition d’une demande d’accès au traitement des SMS entrants. Le centre de commande de ce Trojan situé sur sites.google.com est une autre caractéristique intéressante.
  3. Les créateurs du Trojan-SMS Podec ont maîtrisé un nouveau mécanisme de diffusion via le réseau social VKontakte. Le fichier malveillant a été chargé sur les serveurs du célèbre réseau social où les utilisateurs peuvent stocker du contenu. Ceci explique pourquoi ce Trojan s’est retrouvé dans le trio de tête du classement sur la base du nombre d’utilisateurs attaqués.
  4. L’utilisation de technologies qui permettent de protéger le malware contre les solutions de protection n’est pas neuve, mais elle devient de plus en plus populaire. Le Trojan-Banker Trojan-Banker.AndroidOS.Svpeng.f, découvert au premier trimestre, tente de supprimer les logiciels antivirus des éditeurs Avast, Eset et DrWeb.

Statistiques des menaces pour appareils nomades

Au 1er trimestre 2015, les solutions de Kaspersky Lab pour la protection des appareils nomades ont identifié 103 072 nouveaux malwares mobiles, soit 3,3 fois plus qu’au 4e trimestre 2014.

Le nombre de paquets d’installation de programmes malveillants détectés a atteint quant à lui 147 835, soit 2,3 fois de plus qu’au trimestre précédent.

Nombre de paquets d’installation malveillants et de nouveaux malwares mobiles détectés (T3 2014 – T1 2015).

Nous observons ces derniers temps une réduction du rapport entre le nombre de nouveaux malwares et le nombre de nouveaux paquets d’installation malveillants. Au 3e trimestre 2014, on comptait en moyenne 6,2 paquets d’installation malveillant pour chaque malware. Au 4e trimestre, on en comptait environ 2.  Au 1er trimestre 2015, cet indicateur a reculé jusque 1,4.

Répartition des malwares pour appareils mobiles par type

Répartition des nouveaux malwares pour appareils nomades par type de comportement, 3e trimestre 2015

Les applications potentiellement dangereuses (RiskTool) occupent la tête du classement des objets malveillants pour appareils nomades détectés au 1er trimestre 2015 (35,7 %). Il s’agit d’applications légitimes qui pourraient présenter un danger pour les utilisateurs. En effet, une utilisation maladroite par le propriétaire du téléphone ou une exploitation par un individu malintentionné pourrait provoquer des pertes financières pour l’utilisateur.

Les Trojans SMS occupent la 2e position avec 21 %. Pour rappel, au 3e trimestre 2014, le pourcentage de Trojan SMS parmi les nouvelles menaces mobiles était passé de 22 à 14. Mais ils avaient récupéré leur position à la fin de l’année 2014. Ce type de menace pour appareils nomade occupe la 3e position sur la base du taux de croissance : le nombre total de Trojans SMS dans notre collection a augmenté de 18,7 % au cours des trois premiers mois de 2015. 

La 3e place revient aux logiciels publicitaires potentiellement indésirables (15,2 %). Le volume de ces programmes dans le flux des nouvelles menaces pour appareils nomades recule progressivement.

La part de Trojan-Bankers dans les malwares détectés au 1er trimestre a sensiblement reculé pour atteindre 1,1 %. A l’issue du trimestre, le nombre de nouveaux malwares bancaires pour appareils nomades dans notre collection a augmenté de 6,5 %.

Signalons également que la catégorie Trojan-Ransom, dont l’apparition dans l’arsenal des individus malintentionnés est relativement récente, affiche le taux de croissance le plus élevé parmi toutes les menaces pour appareils nomades.  1 113 représentants de cette catégorie ont été détectés au 1er trimestre. Le nombre de malwares de chantage pour appareils nomades dans notre collection a augmenté de 65 %. Il s’agit là d’une tendance dangereuse car les applications de ce type visent à extorquer de l’argent. L’infection par de tels malwares peut endommager les données personnelles de l’utilisateur et bloquer le périphérique.

La catégorie Trojan-Spy connaît elle aussi un taux de croissance élevé. A l’issue du 1er trimestre 2015, le volume de ce type de malware dans notre collection avait augmenté de 35 %.

Top 20 des programmes malveillants pour appareils nomades
  Nom % d’attaques *
1 DangerousObject.Multi.Generic 10,90%
2 AdWare.AndroidOS.Viser.a 9,20%
3 Trojan-SMS.AndroidOS.Podec.a 7,92%
4 RiskTool.AndroidOS.MimobSMS.a 7,82%
5 Trojan-SMS.AndroidOS.OpFake.a 6,44%
6 Trojan.AndroidOS.Mobtes.b 6,09%
7 Adware.AndroidOS.MobiDash.a 5,96%
8 Exploit.AndroidOS.Lotoor.be 4,84%
9 RiskTool.AndroidOS.SMSreg.gc 4,42%
10 AdWare.AndroidOS.Xynyin.a 3,31%
11 AdWare.AndroidOS.Ganlet.a 2,63%
12 Exploit.AndroidOS.Lotoor.a 2,19%
13 AdWare.AndroidOS.Dowgin.l 2,16%
14 Trojan-SMS.AndroidOS.Stealer.a 2,08%
15 AdWare.AndroidOS.Kirko.a 2,04%
16 Trojan.AndroidOS.Rootnik.a 1,82%
17 Trojan.AndroidOS.Pawen.a 1,81%
18 Trojan-SMS.AndroidOS.Gudex.f 1,75%
19 RiskTool.AndroidOS.SMSreg.dd 1,69%
20 AdWare.AndroidOS.Kemoge.a 1,52%

* Pourcentage d’utilisateurs attaqués par ce malware sur l’ensemble des utilisateurs attaqués

DangerousObject.Multi.Generic (10,90 %) occupe la 1e position. La détection de ces nouveaux malwares mobiles s’opère à l’aide des technologies dans le cloud Kaspersky Security Network, qui permettent à notre logiciel de réagir rapidement aux nouvelles menaces inconnues.

Les logiciels publicitaires potentiellement indésirable occupent 7 positions dans le classement, dont la 2e avec le module AdWare.AndroidOS.Viser.a (9,2 %).

Les Trojan-SMS continuent de perdre des places dans le Top 20 des menaces détectées : au 4e trimestre 2014, ils occupaient 9 positions dans le classement, contre 4 seulement au 1er trimestre 2015

Trojan-SMS.AndroidOS.Podec.a (7,92 %) quant à lui figure dans le Top 3 des menaces pour appareils nomades depuis deux trimestres, ce qui s’explique par sa propagation active. Comme nous l’avons déjà indiqué ci-dessus, les individus malintentionnés ont chargé ce malware dans le référentiel de fichiers de VKontakte, le plus grand réseau social russe. Ce Trojan est connu des experts, entre autres, pour l’utilisation de l’outil d’obfuscation commercial le plus puissant disponible actuellement sur le marché. 

Les représentants de la catégorie RiskTool occupent trois positions dans le Top 20. RiskTool.AndroidOS.MimobSMS.a occupe la 4e position du classement, avec 7,82 % de l’ensemble des utilisateurs attaqués.

Trojan-bankers pour appareils nomades

Nous avons détecté au cours de la période couverte par le rapport 1 527 Trojan-Bankers pour appareils nomades, soit 4,4 fois moins qu’au trimestre antérieur.

Nombre de Trojan-Bankers pour appareils nomades détectés (T1 2014 – T1 2015)

Géographie des menaces bancaires pour appareils nomades au 1er trimestre 2015 (nombre d’utilisateurs attaqués)

96 % des attaques de Trojans-Bankers pour appareils nomades ont eu lieu dans 10 pays.

Top 10 des pays attaqués par des Trojan-Bankers pour appareils nomades :

  Pays % de l’ensemble des attaques*
1 Russie 86,66%
2 Ukraine 2,27%
3 États-Unis 2,21%
4 Kazakhstan 1,87%
5 Allemagne 0,97%
6 Corée, République de 0,70%
7 Biélorussie 0,64%
8 Royaume-Uni 0,37%
9 Ouzbékistan 0,34%
10 Inde 0,21%

* Pourcentage d’utilisateurs attaqués dans le pays par rapport à l’ensemble des utilisateurs attaqués

La Russie demeure le leader traditionnel de ce classement. La 2e position au 1er trimestre revient à l’Ukraine qui a repoussé les Etats-Unis et le Kazakhstan en 3e et 4e positions respectivement. La Biélorussie recule de la 5e à la 7e position.

Répartition géographique des menaces pour appareils nomades

Au cours du 1er trimestre 2015, des attaques de malwares pour appareils nomades ont été enregistrées au moins une fois dans 213 pays.

Carte des tentatives d’infection par des malwares pour appareils nomades au 1er trimestre 2015 (pourcentage de l’ensemble des utilisateurs attaqués)

Top 10 des pays attaqués par des malwares pour appareils nomades :

  Pays % d’attaques*
1 Russie 41,92%
2 Inde 7,55%
3 Allemagne 4,37%
4 Brésil 3,20%
5 Iran 3,12%
6 Kazakhstan 2,88%
7 États-Unis 2,84%
8 Ukraine 2,53%
9 Malaisie 2,05%
10 Vietnam 1,87%

* Pourcentage d’utilisateurs attaqués dans le pays par rapport à l’ensemble des utilisateurs attaqués

La Russie demeure le leader de ce classement (42 %) avec une grande longueur d’avance sur les autres pays. L’Inde occupe la 2e position (7,5 %).

Applications vulnérables utilisées par les individus malintentionnés

Le classement des applications vulnérables repris ci-après repose sur les données relatives aux codes d’exploitation bloqués par nos produits et utilisés par des individus malintentionnés dans le cadre d’attaques via Internet ou lors de l’infection d’applications locales, y compris sur les appareils nomades des utilisateurs.

Répartition, par type d’application ciblée, des codes d’exploitation utilisés par les individus malveillants dans les attaques, T1 2015

La 1re position de notre classement au 1er trimestre 2015 revient à la catégorie "Navigateurs" (64 %) reprenant les codes d’exploitation pour Internet Explorer. En 2014, cette catégorie avait occupé la tête du classement sur la base du total des indicateurs des trois derniers trimestres. 

Nous avons observé au 1er trimestre un recul sensible du nombre de codes d’exploitation pour Oracle Java (-7 point de pourcentage par rapport au 4e trimestre 2014). Ceci pourrait s’expliquer par le fait que les codes d’exploitation pour ces applications ont été presqu’entièrement éliminés des kits d’exploitation.

Il faut noter l’augmentation au 1er trimestre l’augmentation du nombre de codes d’exploitation pour MS Office (+2 points de pourcentage par rapport au 4e trimestre 2014) et Adobe Flash Player (+1 point de pourcentage).

L’augmentation du nombre d’objets Flash malveillants est due avant tout au nombre élevé de vulnérabilités découvertes au 1er trimestre 2015. A l’heure actuelle, presque tous les kits d’exploitation utilisent des codes d’exploitation pour des vulnérabilités dans Adobe Flash Player.

Malwares sur Internet (attaques via Internet)

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger des objets malveillants depuis une page infectée. Les sites malveillants sont des sites créés spécialement par des individus malintentionnés ; les sites infectés peuvent être des sites dont le contenu est fourni par les internautes (par exemple, des forums) ou des ressources légitimes qui ont été compromises.

Menaces en ligne dans le secteur bancaire

Au 1er trimestre 2015, les solutions de Kaspersky Lab ont déjoué des tentatives d’exécution de malwares conçus pour voler l’argent via les systèmes de banques électroniques sur les ordinateurs de 929 082 utilisateurs. Ce chiffre enregistre une augmentation de 64,3 % par rapport à la période précédente couverte par le rapport (565 515).

Nombre d’ordinateurs attaqués par des malwares financiers (T1 2015)

Nous observons une augmentation du nombre d’attaques de malwares financiers. Signalons l’explosion du nombre d’attaques de ce genre en mars 2015.

Au total, les solutions de protection de Kaspersky Lab ont enregistré 5 106 804 notifications de tentatives d’infection par des malwares développés pour le vol d’argent via les systèmes de banque électronique.

Répartition géographique des attaques

Répartition géographique des malwares bancaires, T1 2014

Top 10 des pays selon le nombre d’utilisateurs attaqués

  Pays Nombre d’utilisateurs attaqués
1 Brésil 91 893
2 Russie 85 828
3 États-Unis 66 699
4 Allemagne 51 670
5 Royaume-Uni 25 269
6 Inde 22 085
7 Turquie 21 397
8 Australie 18 997
9 Italie 17 663
10 Espagne 17 416

Une fois de plus, le Brésil occupe la tête du classement des pays les plus attaqués. Son indice a augmenté de 15 % par rapport au trimestre antérieur (79 845).

Top 10 des familles de malwares bancaires

Top 10 des familles de malwares utilisés dans le cadre d’attaques contre les utilisateurs de services de banque électronique au 1er trimestre 2015 (sur la base du nombre d’utilisateurs attaqués) :

Nom Nombre de notifications Nombre d’utilisateurs attaqués
Trojan-Downloader.Win32.Upatre 3 127 365 349 574
Trojan-Spy.Win32.Zbot 865 873 182 966
Trojan-Banker.Win32.ChePro 355 735 91 809
Trojan-Banker.Win32.Banbra 35 182 16 363
Trojan.Win32.Tinba 94 972 15 719
Trojan-Banker.Win32.Agent 44 640 12 893
Trojan-Banker.Win32.Shiotob 60 868 12 283
Trojan-Banker.Win32.Banker 39 728 12 110
Trojan-Spy.Win32.SpyEyes 57 418 9 168
Backdoor.Win32.Papras 56 273 3 062

L’écrasante majorité des malwares du Top 10 utilise des techniques d’injection de code HTML arbitraire dans la page Internet affichée par le navigateur et d’interception des données de paiement saisies par les utilisateurs dans les formulaires en ligne originaux et factices.

Le Trojan-Banker ZeuS (Trojan-Spy.Win32.Zbot), qui était le plus populaire à l’issue de 2014, a cédé sa 1re position au 1er trimestre 2015 à Trojan-Downloader.Win32.Upatre. Les malwares de cette famille sont assez élémentaires. Leur taille ne dépasse pas 3,5 Ko environ et ils téléchargent habituellement un Trojan Banker de la famille Dyre/Dyzap/Dyreza. La liste des banques attaquées par ce malware de type banker varie en fonction du fichier de configuration téléchargé depuis le centre de commande.

Trojan-Banker.Win32.ChePro est un autre membre du Top 3 des Trojan-Bankers. Ce malware est diffusé à l’aide de messages non sollicités dont le thème est associé aux services de banque électronique (par exemple, un message peut avoir l’objet "Facture du service de banque électronique"). Le message contient un document Word avec une image. Quand le destinataire clique sur celle-ci, il est invité  à exécuter le code malveillant.

Menaces financières

Les menaces financières ne se limitent pas aux malwares bancaires qui visent les utilisateurs des systèmes de banque électronique.

Nombre d’attaques organisées à l’aide de malwares financiers

La 2e menace la plus populaire est le vol de portefeuille de bitcoins. Il existe une autre menace en rapport avec la cryptodevise, à savoir l’exploitation de Bitcoin qui consiste à utiliser la puissance de l’ordinateur de la victime pour générer des bitcoins.

Top 20 des objets détectés sur Internet

Au 1er trimestre 2015, notre antivirus Internet a détecté 28 483 783 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).

Parmi tous les objets malveillants impliqués dans ces attaques contre les ordinateurs des utilisateurs via Internet, nous avons identifié les 20 objets les plus actifs.  Ils sont responsables de 95,9% de toutes les attaques sur Internet.

Top 20 des objets détectés sur Internet

  Nom* % de l’ensemble des attaques**
1 Malicious URL 37,55%
2 AdWare.JS.Agent.bg 36,06%
3 AdWare.Script.Generic 6,58%
4 Trojan.Script.Iframer 4,49%
5 AdWare.NSIS.AnProt.b 3,83%
6 Trojan.Script.Generic 2,91%
7 AdWare.JS.Agent.an 1,06%
8 AdWare.Win32.Yotoon.bfm 0,81%
9 Trojan.JS.Redirector.ads 0,47%
10 Exploit.Script.Blocker 0,33%
11 AdWare.Win32.Eorezo.eod 0,31%
12 Trojan.Win32.Generic 0,24%
13 Trojan-Downloader.Win32.Generic 0,22%
14 AdWare.Win32.ConvertAd.vo 0,17%
15 Trojan-Downloader.Script.Generic 0,16%
16 AdWare.NSIS.Agent.bx 0,16%
17 AdWare.NSIS.Agent.cv 0,13%
18 AdWare.AndroidOS.Xynyin.a 0,13%
19 AdWare.Win32.Yotoon.heur 0,12%
20 AdWare.Win32.SoftPulse.xvm 0,12%

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques. 
** Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

Le Top 20 contient principalement des verdicts attribués à des objets qui interviennent dans des attaques par téléchargement à la dérobée ou des logiciels publicitaires. 37,55% de l’ensemble des déclenchements de l’Antivirus Internet impliquaient des liens de la liste noire.

Pays source des attaques Internet : TOP 10

Ces statistiques montrent la répartition par pays des sources des attaques Internet bloquées par l’Antivirus Internet sur les ordinateurs des utilisateurs (pages Internet avec redirection vers des codes d’exploitation, sites avec des codes d’exploitation et autres programmes malveillants, centres d’administration de réseaux de zombies). Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Au premier trimestre 2015, les solutions de Kaspersky Lab ont repoussé 469 220 213 attaques organisées depuis des ressources Internet dans différents pays. 90% des notifications relatives aux attaques Internet bloquées ont été obtenues lors du blocage d’attaques depuis des ressources Internet réparties dans une dizaine de pays.

Répartition par pays des sources d’attaques Internet, 1er trimestre 2015

Cela fait longtemps que la composition du Top 10 n’a pas changé. Toutefois, nous avons un nouveau leader pour ce trimestre. La 1re place revient désormais à la Russie, qui progresse de la 4e place, avec un indice de près de 40 %. Les Etats-Unis, leader du trimestre antérieur, occupent la 2e position avec 18 %.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé dans chaque pays le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés à des déclenchements de l’Anti-Virus Internet au cours de la période couverte par le rapport. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

  Pays* % d’utilisateurs uniques attaqués**
1 Kazakhstan 42,37%
2 Russie 41,48%
3 Azerbaïdjan 38,43%
4 Ukraine 37,03%
5 Croatie 37,00%
6 Arménie 35,74%
7 Mongolie 33,54%
8 Moldavie, République de 33,47%
9 Biélorussie 33,36%
10 Kirghizstan 32,20%
11 Algérie 32,12%
12 Qatar 31,15%
13 Géorgie 30,69%
14 Emirats arabes unis 29,36%
15 Lettonie 28,69%
16 Tadjikistan 28,36%
17 Bosnie et la Herzégovine 28,00%
18 Grèce 27,55%
19 Tunisie 27,54%
20 Bulgarie 27,44%

Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000. 
**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Au 1er trimestre 2015, le Kazakhstan occupe la 1re place et la Russie passe en 2e position. Par rapport au trimestre précédent, le Vietnam et le Portugal ont quitté le Top 20. Ils ont été remplacés par la Bosnie-Herzégovine (28 %) et la Grèce (27,55 %) en 17e et 18e positions respectivement.

Parmi les pays les plus sûrs en terme de navigation sur Internet, citons le Japon (12,4%), le Danemark (12,7 %), Singapour (14,3 %), la Finlande (14,9 %), l’Afrique du Sud (14,8 %) et les Pays-Bas (15,2 %).

En moyenne au cours du trimestre, 26,3% des ordinateurs des Internautes à travers le monde avaient été exposés au moins une fois à une attaque sur Internet.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les objets qui se sont introduit sur les ordinateurs par d’autres moyens qu’Internet, le courrier  électronique ou les ports réseau.

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

253 560 227 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers au 1er trimestre 2015.

Top 20 des objets découverts sur les ordinateurs sur les ordinateurs des utilisateurs

  Nom* % d’utilisateurs uniques attaqués**
1 DangerousObject.Multi.Generic 22,56%
2 Trojan.WinLNK.StartPage.gena 17,05%
3 Trojan.Win32.Generic 15,06%
4 AdWare.Script.Generic 6,12%
5 WebToolbar.Win32.Agent.azm 4,49%
6 WebToolbar.JS.Condonit.a 4,20%
7 AdWare.Win32.Agent.heur 4,15%
8 RiskTool.Win32.BackupMyPC.a 3,83%
9 Downloader.Win32.Agent.bxib 3,74%
10 Trojan.Win32.AutoRun.gen 3,70%
11 Trojan.VBS.Agent.ue 3,64%
12 Downloader.Win32.MediaGet.elo 3,42%
13 AdWare.Win32.SearchProtect.ky 3,34%
14 Worm.VBS.Dinihou.r 3,31%
15 Virus.Win32.Sality.gen 3,18%
16 AdWare.Win32.DealPly.brj 2,86%
17 Trojan.Script.Generic 2,74%
18 AdWare.Win32.NewNext.a 2,70%
19 WebToolbar.JS.CroRi.b 2,66%
20 AdWare.MSIL.Kranet.heur 2,49%

*Verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
** Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

Généralement, ce classement reprend les verdicts attribués aux logiciels publicitaires et à leurs composants (comme Trojan.VBS.Agent.ue par exemple) et les vers qui se propagent par disques amovibles. Ces verdicts occupent 13 positions dans le classement.

Trojan.WinLNK.StartPage.gena fait son entrée dans le classement (et en 2e position). Ce verdict est attribué aux fichiers LNK qui contiennent un lien pour l’ouverture du navigateur à la page indiquée. En général, ces pages portent un nom qui évoque le nom de moteurs de recherche mais elles redirigent en réalité l’utilisateur vers des sites au contenu douteux. Certains de ces sites peuvent constituer un danger et ils sont détectés par l’Antivirus Internet. Ce genre de fichiers LNK a été souvent détecté en janvier.

Virus.Win32.Sality.gen, l’unique représentant des virus, continue de reculer. La part d’ordinateurs infectés par ce virus chute depuis quelques temps déjà. Pour ce trimestre, Sality occupe la 15e position avec 3,18 %.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Pour chacun des pays, nous avons calculé le pourcentage d’utilisateurs des produits de Kaspersky Lab qui ont été confrontés au déclenchement de l’Antivirus Fichiers au cours de la période couverte par le rapport. Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

Top 20 des pays en fonction du degré d’infection des ordinateurs

  Pays* % d’utilisateurs uniques**
1 Vietnam 60,68%
2 Bangladesh 60,20%
3 Mongolie 57,28%
4 Yémen 55,91%
5 Somalie 55,64%
6 Népal 55,01%
7 Afghanistan 54,91%
8 Algérie 54,83%
9 Irak 54,38%
10 Cambodge 52,70%
11 Laos 52,54%
12 Arménie 52,44%
13 Pakistan 51,95%
14 Kazakhstan 51,54%
15 Rwanda 51,36%
16 Éthiopie 50,93%
17 Égypte 50,60%
18 Syrie 50,11%
19 Inde 50,00%
20 Tadjikistan 49,80%

Ces statistiques reposent sur les verdicts détectés des modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques. Nous avons également comptabilisé les programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.
* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000. 
** Pourcentage d’utilisateurs uniques sur les ordinateur desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Les pays d’Afrique, du Proche-Orient et d’Asie du Sud-Est ont occupé pendant longtemps toutes les places du classement. Pour ce trimestre, nous enregistrons le recul de l’Arménie (12e position), du Kazakhstan (14e position) et du Tadjikistan (20e position).

Le Vietnam (60,68 %) mène ce classement depuis près de deux ans. Le Bangladesh (60,2 %) et la Mongolie (57,3 %) conservent leur position pour le 3e trimestre consécutif.

Au cours du 1er trimestre, des menaces locales ont été détectées sur les ordinateurs de 49,6% des utilisateurs en Russie.

Parmi les pays les plus sûrs en matière d’infection locale, citons : le Japon (14,7 %), le Danemark (20,1 %), la Suède (21,4 %), Hong Kong (21,5 %) et la Finlande (21,6 %).

En moyenne à travers le monde au 1er trimestre, des menaces locales ont été détectées au moins une fois sur 39,8% des ordinateurs des utilisateurs, soit 2 % de plus qu’au 4e trimestre 2014.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *