Evolution des menaces informatiques : 2ème trimestre 2013

Chiffres du trimestre

  • D’après les données de KSN, au deuxième trimestre 2013, les produits de Kaspersky Lab ont détecté et neutralisé 983 051 408 objets malveillants.
  • Les solutions de Kaspersky Lab ont déjoué 577 159 385 attaques organisées depuis divers sites répartis à travers le monde.
  • Nos solutions antivirus ont bloqué 400 604 327 tentatives d’infection locales sur les ordinateurs d’utilisateurs membres du Kaspersky Security Network.
  • 29 695 modifications de programmes malveillants pour appareils mobiles ont été détectées.

Aperçu

Cyber-espionnage et attaques ciblées

NetTraveler

Au début du mois de juin, Kaspersky Lab a annoncé l’ouverture d’un nouveau chapitre dans l’histoire du cyber-espionnage.

Cette famille de programmes malveillants baptisée NetTraveler, avait été utilisée dans le cadre de menaces persistantes avancées pour compromettre les ordinateurs de plus de 350 victimes de haut vol dans 40 pays. Les victimes de NetTraveler appartenaient aussi bien au secteur public que privé et travaillaient dans des organismes publics, des ambassades, dans le secteur pétrolier et gazier, dans des centres de recherche, chez des sous-traitants du ministère de la Défense ou dans des associations d’activistes.

La menace, active depuis le début 2004, vise à voler des données relatives à l’exploration spatiale, aux nano-technologies, à la production d’électricité, à l’énergie nucléaire, aux lasers, à la médecine et aux télécommunications.

Les auteurs de l’attaque infectaient les ordinateurs des victimes en envoyant des messages de harponnage contenant des pièces jointes Microsoft Office malveillantes contenant deux vulnérabilités souvent exploitées (CVE-2012-0158 et CVE-2010-3333). Bien que Microsoft a déjà publié les correctifs pour ces vulnérabilités, elles sont toujours largement utilisées dans les attaques ciblées et ont démontré leur efficacité à maintes reprises.

Les données tirées des ordinateurs infectés étaient en général des listes du système de fichiers, des enregistrements de frappes et divers types de fichiers au format PDF, Excel ou Word ainsi que d’autres fichiers. De plus, le toolkit de NetTraveler était en mesure d’installer un autre programme de vol de données en porte dérobée. Celui-ci était prévu pour le vol d’autres informations sensibles telles que les détails de la configuration d’une application ou des fichiers de conception par ordinateur.

Outre l’analyse des données des centres de commande, les chercheurs de Kaspersky Lab ont tiré des statistiques supplémentaires sur l’infection du Kaspersky Security Network (KSN). Les 10 principaux pays visés par cette attaque, selon KSN, ont été la Mongolie, la Russie, l’Inde, le Kazakhstan, le Kirghizistan, la Chine, le Tadjikistan, la Corée du Sud, l’Espagne et l’Allemagne.

Winnti

Au début du mois d’avril, Kaspersky Lab a publié un rapport détaillé sur une campagne de cyber-espionnage continue organisée par un groupe cybercriminel baptisé "Winnti". Le groupe Winnti attaque des éditeurs de jeux en ligne depuis 2009 et se concentre sur le vol des certificats numériques signés par des éditeurs de logiciels légitimes. Il pratique également le vol de propriétés intellectuelles.  Ce groupe est également coupable du vol du code source de projets de jeux en ligne.

Le cheval de Troie utilisé dans le cadre de ces attaques est une bibliothèque DDL compilée pour les environnements Windows 64 bits.  Il utilise un pilote malveillant correctement signé et remplit les fonction d’un outil d’administration à distance parfaitement opérationnel qui permet aux auteurs de l’attaque de contrôler l’ordinateur de la victime à son insu. Cette découverte fut importante car ce cheval de Troie  était le premier programme malveillant pour la version 64 bits de Windows doté d’une signature numérique valide.

Les experts de Kaspersky Lab se sont lancés dans l’analyse de la campagne organisée par le groupe Winnti et ils ont recensé plus de 30 sociétés dans le secteur des jeux en ligne parmi les victimes de ce groupe. La majorité d’entre elles étaient des sociétés de développement de logiciels pour des jeux vidéo en ligne en Asie du Sud-Est. Toutefois, des éditeurs de jeux en ligne en Allemagne, aux Etats-Unis, au Japon, en Chine, en Russie, au Brésil, au Pérou et en Biélorussie figuraient également parmi les victimes. 

Le groupe Winnti est toujours actif et l’enquête de Kaspersky Lab se poursuit. 

Suivi de Winnti – Certificats dérobés impliqués dans des attaques contre des activistes tibétains et ouïghours

Une semaine après la publication de notre rapport sur Winnti, nos chercheurs ont détecté un code d’exploitation pour Flash Player sur un site qui venait en aide aux enfants de réfugiés tibétains. Ce site Web avait été compromis pour pouvoir diffuser des portes dérobées signées par des certificats volés lors d’un incident impliquant Winnti.

Il s’agissait d’un cas d’école d’attaque de type "watering hole" dans le cadre duquel les auteurs de l’attaque recherchent les sites préférés des victimes et les infectent afin de pouvoir infecter les ordinateurs des victimes. Outre le site déjà cité, d’autres sites en rapport avec le Tibet et les Ouïghours ont été touchés par la vulnérabilité "Exploit.SWF.CVE-2013-0634.a".

Piratage et programmes malveillants au deuxième trimestre

Carberp

En mars et en avril de cette année, les membres de deux groupes cybercriminels ont été arrêtés pour des faits impliquant le vol sur des comptes en banque en Russie et en Ukraine.

Les individus interpellés étaient des utilisateurs et les développeurs présumés du cheval de Troie Carberp, un exemple classique de fraude bancaire en ligne et de mise en place de centaines de réseaux de zombies à travers le monde. Les auteurs avaient vendu Carberp pendant des années sur des forums clandestins, souvent dans le cadre de commandes personnalisées. Ce cheval de Troie s’était même introduit dans l’univers mobile où il interceptait les numéros d’autorisation de transaction (code TAN) et les envoyait par SMS.

En juin 2013, une archive de 2 Go, contenant le code source de Carberp, fut rendue publique. Bien que nous avons observé une réduction du nombre d’attaques organisées à l’aide de modifications de Carberp, ce programme n’a pas dit son dernier mot. A l’instar de ce qui s’est produit dans des cas similaires où le code source d’un programme malveillant populaire a été divulgué, il ne fait aucun doute que des cybercriminels rivaux vont recycler une partie du code pour améliorer leur propre programme et décrocher d’autres parts de marché ou pour développer leur propre version de Carberp comme ce fut le cas après la diffusion du code source de Zeus en 2011.

La folie des bitcoins

Le cours des bitcoins s’est littéralement envolé au cours des 12 derniers mois. Alors qu’un bitcoin valait moins qu’un cent américain, la valeur dépasse aujourd’hui les 130 dollars. Le taux de cette devise est volatile mais il poursuit sa hausse progressivement.  Le dicton veut que "Là où il y a de l’argent, il y aura du vol" et il semble que cela s’applique aux Bitcoins également.

Le bitcoin est devenu une devise de choix dans les milieux criminels dans la mesure où les autorités judiciaires et policières éprouvent plus de difficultés à suivre les transactions. Le paiement en bitcoin est devenu une méthode plus sûre et plus anonyme.

Au mois d’avril, l’équipe de chercheurs de Kaspersky Lab a détecté une campagne dans le cadre de laquelle les cybercriminels ont utilisé Skype pour diffuser un programme malveillant pour l’extraction de bitcoins. L’attaque débutait par une phase d’ingénierie sociale, puis un autre programme malveillant était installé sur l’ordinateur de la victime. Cette campagne avait permis d’atteindre des taux supérieurs à 2 000 clics/heure. Les bitcoins extraits à l’aide des ordinateurs infectés étaient ensuite transférés sur le compte du cybercriminel à l’origine de l’escroquerie.

Un mois plus tard, nos analystes ont identifié une campagne de phishing au Brésil contre des détenteurs de bitcoins. Des sites Web légitimes avaient été compromis à l’aide d’iFrames qui lançaient un applet Java. Celui-ci renvoyait les utilisateurs vers un faux site MtGox via l’utilisation malveillante de fichiers PAC. MtGox est une plateforme japonaise d’échange de Bitcoins qui prétend traiter plus de 80 % des transactions en bitcoins. L’objectif de cette campagne était d’obtenir les informations d’identification de la victime et de voler ses bitcoins.

Sécurité sur Internet et fuite de données

Le deuxième trimestre de cette année aura également été riche en fuites de données qui ont débouché sur la divulgation d’informations d’utilisateurs.

Pour les utilisateurs qui connaissent bien Internet , qui utilisent divers services en ligne et qui n’ont pas encore été touchés par ce genre d’incident, le risque est de plus en plus grand vu que nous avons observé chaque mois des incidents marquants.

Voici quelques exemples de fuites de données survenues récemment :

Vers la fin du mois de mai, Drupal a prévenu ses utilisateurs que des pirates avaient eu accès aux noms d’utilisateur, aux adresses de messagerie électronique et aux mots de passe hachés. Le développeur des systèmes de gestion du contenu a réagi en réinitialisant tous les mots de passe par mesure de précaution. Heureusement, la majorité des mots de passe était stockée sous forme hachée et salée. La fuite avait été repérée lors d’un audit de sécurité et impliquait un code d’exploitation pour un logiciel tiers vulnérable installé sur le portail Internet. D’après Drupal, les données relatives aux cartes de crédit avaient été épargnées.

A la fin du deuxième trimestre, l’éditeur de jeux vidéo Ubisoft a envoyé un courrier électronique et publié un bref billet sur son blog pour alerter ses utilisateurs au sujet d’une attaque contre un de ses sites Web qui avait été compromis et qui avait permis à des utilisateurs malveillants inconnus d’obtenir des bases de données contenant des noms d’utilisateur, des adresses de messagerie électronique et des mots de passes "chiffrés". Ubisoft n’a pas indiqué le nombre de comptes touchés par l’incident, mais vu le nombre élevé d’utilisateurs, ce chiffre pourrait être de plusieurs millions. Cette fuite fut la dernière en date dans une longue série d’événements qui avaient touché le secteur des jeux après Playstation Network, Epic Games, Nintendo, Bethesda, etc.

Le 19 juin, le navigateur Internet Opera diffusait des mises à jour malveillantes à ses utilisateurs après  une attaque contre son réseau interne et le vol d’un certificat de signature de code. Bien que le certificat avait déjà expiré au moment de l’attaque, il pouvait toujours contribuer à la réussite de l’infection car toutes les versions de Windows ne traitent pas la vérification des certificats selon le même niveau de détail. Malgré le bref laps de temps pendant lequel la charge utile malveillante fut active, plusieurs milliers d’utilisateurs d’Opera ont put être exposés à cette mise à jour malveillante. Kaspersky Lab détecte le cheval de Troie doté de capacités d’enregistrement de frappes et de vols de données utilisé dans le cadre de cette attaque sous le nom Trojan-PSW.Win32.Tepfer.msdu.

Réseaux de zombie à gogo

Un réseau de zombies attaque des installations WordPress

Au début du mois d’avril, GatorHost a évoqué un réseau de zombies contenant plus de 90 000 adresses IP uniques qui avait permis de lancer une attaque internationale par force brute contre des installations de WordPress.  L’hypothèse sur l’objectif de l’attaque était l’installation d’une porte dérobée sur les serveurs afin de les inclure dans le réseau de zombies existant. Dans certains cas, le kit de codes d’exploitation Blackhole fut même installé.

Obtenir l’accès à des serveurs WordPress et abuser de ceux-ci est très rentable pour les cybercriminels en raison des meilleures performances et de la plus grande bande passante par rapport à la majorité des ordinateurs de bureau. De plus, ces serveurs offrent la possibilité de diffuser davantage le programme malveillant via les blogs et leurs lecteurs réguliers.

Un botnet IRC exploite une vulnérabilité Plesk non corrigée

Deux mois après l’attaque d’un réseau de zombies contre des installations de WordPress, des chercheurs ont découvert un réseau de zombies IRC qui exploitait une vulnérabilité dans Plesk, un dispositif de contrôle d’hébergement largement utilisé. L’exploitation de cette vulnérabilité (CVE-2012-1823) permettait une exécution de code à distance avec les privilèges d’un utilisateur Apache.  Cette vulnérabilité concernait Plesk 9.5.4 et les versions antérieures. D’après Ars Technica, plus de 360 000 installations étaient en danger.

Le réseau de zombies IRC infectait des serveurs Web vulnérables en installant une porte dérobée qui établissait une connexion au serveur de commande.  Il est intéressant de constater que le centre de commande lui-même était lui aussi exposé à cette même vulnérabilité Plesk.  Les chercheurs ont surveillé le réseau de zombies à l’aide de cette vulnérabilité et ont identifié près de 900 serveurs Web qui tentaient d’établir une connexion. Un outil a été créé pour nettoyer les serveurs zombies et faire disparaître le nouveau réseau de zombies.

Progression continue des programmes malveillants pour appareils mobiles

Quantité, qualité et diversité au rendez-vous

Android est devenu la cible de prédilection des cybercriminels parmi les systèmes d’exploitation pour appareils mobiles. Il est au monde mobile ce que Windows est au monde des ordinateurs.

Presque tous les échantillons de programmes malveillants détectés sur les appareils mobiles au deuxième trimestre 2013 visaient Android, tout comme au premier trimestre 2013. Un jalon important a été atteint à la fin de ce trimestre : le 30 juin, le seuil de 100 000 modifications (pour 629 familles de programmes malveillants) a été franchi.

Il ne s’agit pas d’applications malveillantes individuelles, mais d’échantillons de code malveillant. Ces échantillons de code étaient toutefois utilisés principalement dans plusieurs applications au comportement de cheval de Troie, ce qui donnait un nombre de programmes malveillants en attente de téléchargement assez élevé. La procédure commune utilisée par les cybercriminels consiste à télécharger des applications légitimes, ajouter du code malveillant et les utiliser ensuite en tant que vecteur pour la diffusion. Les applications reconditionnées sont ensuite à nouveau chargées sur des sites de ventes d’application, principalement des sites alternatifs.  Les applications les plus utilisées sont prises pour cible afin de profiter de leur réputation vu que les utilisateurs les recherchent et cela simplifie la vie des cyber-criminels.

Au niveau statistique, le deuxième trimestre a enregistré une légère augmentation par rapport au premier avec un total de 29 695 modifications (contre 22 749 au premier trimestre). 7 141 modifications ont été enregistrées en avril, soit la valeur la plus basse pour le deuxième trimestre. Toutefois, en mai et en juin, Kaspersky Lab a détecté plus de 11 000 modifications, soit 11 399 et 11 155 respectivement. Globalement, on observe en 2013 une véritable explosion du nombre de nouvelles modifications pour appareils mobiles.

 
Nombre d’échantillons dans notre collection

Alors que les programmes malveillants pour appareils mobiles de la catégorie Cheval de Troie par SMS ont toujours été les plus représentés dans nos classements, leur part respective dans notre collection d’échantillons donne une autre image.

 

La première place revient aux portes dérobées avec 32,3 %, suivies par les chevaux de Troie (23,2 %) et les chevaux de Troie par SMS. Les chevaux de Troie espion occupent la quatrième position avec 4,9 %. Au niveau des capacités et de la souplesse, la tendance parmi les programmes malveillants pour appareils mobiles ressemble à celles des programmes malveillants pour ordinateurs. Les échantillons modernes exploitent les technologies d’obfuscation pour déjouer les analyse et transportent souvent plusieurs charges utiles afin de rendre l’infection plus persistante, extraire des informations complémentaires ou télécharger et installer d’autres programmes malveillants.

Obad, le cheval de Troie pour Android le plus complexe au monde

Au deuxième trimestre 2013, nous avons détecté un cheval de Troie pour Android qui est probablement le cheval de Troie le plus complexe qui a jamais existé. Il est capable d’envoyer des SMS a des numéros surtaxés, de télécharger et d’installer d’autres programmes malveillants sur l’appareil infecté et/ou de les envoyer par Bluetooth et d’exécuter des commandes à distance depuis la console. Les solutions de Kaspersky Lab détectent ce programme malveillant sous le nom de Backdoor.AndroidOS.Obad.a.

Les auteurs de Backdoor.AndroidOS.Obad.a ont détecté une faille dans l’application dex2jar souvent utilisée par les analystes pour convertir des fichiers APK au format JAR, plus simple à manipuler et à analyser. Cette vulnérabilité découverte par les cybercriminels perturbe la conversion du code d’octet Dalvik en code d’octet Java, ce qui complique l’analyse statistique du cheval de Troie.

Les cybercriminels ont également découvert une erreur dans Android en rapport avec l’analyse d’AndroidManifest.xml qui se trouve dans chaque application Android et dont la fonction consiste à décrire la structure de l’application, définir ses paramètres d’exécution, etc. Les auteurs du programme malveillant ont modifié AndroidManifest.xml de telle sorte qu’il ne respecte pas la norme définie par Google mais qu’il est malgré tout correctement analysé en raison de la vulnérabilité. Ceci est un véritable problème pour l’analyse dynamique du cheval de Troie.

Les créateurs de Backdoor.AndroidOS.Obad.a ont profité d’une autre faille jusque là inconnue dans Android et qui permet à un programme malveillant d’obtenir les privilèges étendus d’administrateur de l’appareil sans figurer dans la liste des applications qui possèdent ces privilèges. Il est alors impossible de supprimer le programme malveillant de l’appareil mobile.

Le programme malveillant exploite donc trois vulnérabilités inconnues jusque là. Nous n’avions jamais rien vu de tel dans un programme malveillant.

Les privilèges étendus d’administrateur de l’appareil peuvent ensuite être utilisés par le cheval de Troie pour bloquer brièvement l’écran de l’appareil (pas plus de 10 secondes). Ceci se produit en général après l’établissement d’une connexion Wi-Fi gratuite ou après l’activation de Bluetooth que le programme malveillant peut utiliser pour envoyer ses copies et d’autres programmes malveillants aux appareils qui se trouvent à proximité. Il se peut que Backdoor.AndroidOS.Obad.a agisse ainsi pour empêcher que l’utilisateur se rende compte de l’activité malveillante.

Pour envoyer les informations relatives à l’appareil infecté et au "travail" réalisé, Backdoor.AndroidOS.Obad.a utilisé une connexion Internet active. Si aucune connexion n’est disponible, le cheval de Troie recherche des réseaux Wi-Fi proches qui ne sont pas protégés par un mot de passe et établit une connexion dès qu’il trouve un tel réseau.

Après la première exécution, l’application malveillante récupère l’adresse MAC du protocole Bluetooth de l’appareil, le nom de l’opérateur de téléphonie, le numéro de téléphone, le code IMEI, le solde du compte, l’heure locale et la confirmation de l’obtention des privilèges d’administrateur de l’appareil ou de superutilisateur (root). Toutes ces informations sont envoyées au serveur de commande. Le programme malveillant fournit également au serveur de commande un tableau à jour des numéros surtaxés et des préfixes pour envoyer des SMS ainsi qu’une liste des tâches et une liste des serveurs de commande. Lors de la première session de communication, un tableau et une liste de centre de commande vides sont envoyés au serveur de commande. Pendant la session, il se peut que le cheval de Troie reçoive un tableau mis à jour contenant des numéros surtaxés et une nouvelle liste d’adresses de centre de commande.

Les cybercriminels peuvent commander le cheval de Troie à l’aide de SMS : le cheval de Troie peut recevoir des chaînes de clé qui définissent certaines actions (key_con, key_url, key_die) depuis le serveur ; il recherchera ensuite ces chaînes de clé dans les SMS entrant. Le programme recherche la présence éventuelle d’une de ces chaînes de clé dans chaque message entrant. Si une clé est détectée, l’action correspondante est exécutée : key_connection, connexion immédiate au serveur ; key_die, suppression de tâches de la base de données ; key_url, passage à un centre de commande différent (le texte doit inclure la nouvelle adresse du centre de commande. Les cybercriminels peuvent ainsi créer un serveur de commande et envoyer son adresse par SMS avec la clé key_url et ensuite, tous les appareils infectés se connecteront au nouveau serveur.

Le cheval de Troie reçoit les commandes du centre de commande et les saisit dans une base de données. Chaque enregistrement dans la base de données contient le numéro de la commande, la date et l’heure d’exécution définie par le serveur et les paramètres de la commande. Voici la liste des actions qui peuvent être exécutées par le cheval de Troie après réception de la commande :

  • Envoi d’un SMS. Les paramètres incluent le numéro du destinataire et le texte à envoyer. Les réponses sont effacées.
  • Ping.
  • Récupération du solde via USSD.
  • Utilisation d’un serveur proxy.
  • Connexion à l’adresse indiquée.
  • Téléchargement et installation d’un fichier  depuis le serveur.
  • Envoi au serveur d’une liste d’applications installées sur l’appareil.
  • Envoi d’informations sur une application définie par le serveur de commande.
  • Envoi des contacts de l’utilisateur au serveur.
  • Shell distant. Exécution des commandes définies par le cybercriminel depuis la console.
  • Envoi d’un fichier à tous les appareils découverts via Bluetooth.

FakeDefender : programme malveillant de chantage pour Android

En juin, nous avons pris connaissance de l’arrivée des programmes malveillants de chantage dans l’univers mobile ou plus exactement de l’apparition d’un croisement entre un faux logiciel antivirus et un programme malveillant de chantage. L’application associée s’appelle "Free Calls Update". Après avoir lancé l’application installée, il tente d’obtenir les privilèges d’administrateur sur l’appareil pour pouvoir modifier les paramètres et  activer/désactiver les connexions Internet Wi-Fi et 3G. Le fichier d’installation est supprimé après l’installation afin de compliquer la tâche du vrai logiciel antivirus installé dans le système. L’application en elle-même est un faux logiciel antivirus qui prétend réaliser une recherche de programmes malveillants et qui signale une menace inexistante. La victime est ensuite invitée à acheter une licence pour obtenir la version complète de l’application (comme sur les ordinateurs).

Pendant la navigation sur Internet, l’application affiche une fenêtre contextuelle qui tente de faire peur à l’utilisateur en indiquant qu’un programme malveillant tente de voler du contenu pornographique sur le téléphone. Cette note est permanente et verrouille l’appareil. Si les privilèges d’administrateur de l’appareil ont été obtenus, FakeDefender interdit la suppression de l’application ou le lancement d’autres applications.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN) suite au fonctionnement de divers composants chargés de la protection contre les programmes malveillants.. Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des programmes malveillants.

Menaces sur Internet

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger un code malveillant depuis une page infectée. Cette page infectée peut être un site créé spécialement par les individus malintentionnés, des sites dont le contenu est fourni par les utilisateurs (par exemple, des forums) ou une ressource légitime compromise.

Objets détectés sur Internet

Au deuxième trimestre 2013, les solutions de Kaspersky Lab ont repoussé 577 159 385 attaques organisées depuis des ressources Internet de différents pays.

Top 20 des objets détectés sur Internet

  Nom* % de l’ensemble des attaques**
1 Malicious URL 91,52%
2 Trojan.Script.Generic 3,61%
3 Trojan.Script.Iframer 0.80%
4 AdWare.Win32.MegaSearch.am 0,54%
5 Exploit.Script.Blocker 0,41%
6 Trojan-Downloader.Script.Generic 0.27%
7 Exploit.Java.Generic 0,16%
8 Trojan.Win32.Generic 0,16%
9 Exploit.Script.Blocker.u 0,12%
10 AdWare.Win32.Agent.aece 0,11%
11 Trojan-Downloader.JS.JScript.cb 0,11%
12 Trojan.JS.FBook.q 0,10%
13 Trojan-Downloader.Win32.Generic 0,09%
14 Exploit.Script.Generic 0,08%
15 Trojan-Downloader.HTML.Iframe.ahs 0,05%
16 Packed.Multi.MultiPacked.gen 0,05%
17 Trojan-Clicker.HTML.Iframe.bk 0,05%
18 Trojan.JS.Iframe.aeq 0,04%
19 Trojan.JS.Redirector.xb 0,04%
20 Exploit.Win32.CVE-2011-3402.a 0,04%

 

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques.

**Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

La première place du Top 20 des objets détectés est une fois de plus occupée par des liens malveillants de la liste noire. Par rapport au premier trimestre 2013, leur part a augmenté de 0,08 % et représentait 91,55 % de l’ensemble des détections de l’Antivirus Internet.

Le Top 5 des objets détectés comprend une fois de plus les verdicts Trojan.Script.Generic (2e position) et Trojan.Script.Iframer (3e position). Ces objets malveillants sont bloqués lors des tentatives d’attaques par téléchargement à la dérobée qui sont devenues une des méthodes d’infection les ordinateurs les plus répandues. La part de Trojan.Script.Generic a reculé de 0,82 %, tandis que celle de Trojan.Script.Iframer a augmenté de 0,07 %.

Au deuxième trimestre 2013, presque tous les objets du Top 20 détectés par l’Antivirus Internet étaient des programmes malveillants impliqués d’une manière ou d’une autre dans l’organisation d’attaques par téléchargement à la dérobée.

Top 20 des pays dont les ressources hébergent les programmes malveillants

Ces statistiques indiquent les pays dans lesquels se trouvent physiquement les sites d’où sont téléchargés les programmes malveillants. Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

83% des sites Internet utilisés pour la diffusion de programmes malveillants sont répartis entre 10 pays. Au cours du dernier trimestre, cet indice a augmenté de 2 %.

 
Répartition par pays des sites Internet qui hébergent des programmes malveillants, deuxième trimestre 2013.

Dans le classement des pays par hébergements malveillants, les parts respectives des pays par rapport au premier trimestre n’ont pratiquement pas changé. Les Etats-Unis (24,4 %) et la Russie (20,7 %) mènent toujours le classement. L’Irlande a été éjectée du Top 10. Elle est remplacée en septième position par le Viet Nam (2,1 %).

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé la fréquence de déclenchement de l’Antivirus Internet chez les utilisateurs des logiciels de Kaspersky Lab dans chacun des pays au cours du trimestre.

  País %
1 Arménie 53,92%
2 Russie 52,93%
3 Kazakhstan 52,82%
4 Tadjikistan 52,52%
5 Azerbaïdjan 52,38%
6 Viet Nam 47,01%
7 Moldavie 44,80%
8 Biélorussie 44,68%
9 Ukraine 43,89%
10 Kirghizstan 42,28%
11 Géorgie 39,83%
12 Ouzbékistan 39,04%
13 Sri Lanka 36,33%
14 Grèce 35,75%
15 Inde 35,47%
16 Thaïlande 34,97%
17 Autriche 34,85%
18 Turquie 34,74%
19 Libye 34,40%
20 Algérie 34,10%

Top 20 des pays où le risque d’infection des ordinateurs via Internet est le plus élevé**, deuxième trimestre 2013

*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.

**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le Top 10 des pays dont les habitants sont le plus souvent confrontés à des programmes malveillants sur Internet est composé exclusivement de pays de l’ex-URSS, à l’exception du Viet Nam. La Russie occupe la deuxième position de ce classement avec 52,9 %. La deuxième moitié du Top 20 pour le deuxième trimestre accueille pour la première fois la Libye (34,4 %), l’Autriche (34,9 %) et la Thaïlande (35 %).

Nous pouvons répartir les pays en plusieurs groupes.

  1. Au deuxième trimestre, pas un seul pays n’est entré dans le groupe à risque maximal (qui réunit les pays où plus de 60 % des utilisateurs ont été confrontés au moins une fois à des programmes malveillants sur Internet).
  2. Groupe à risque élevé. Ce groupe dont l’indice de risque est compris entre 41et 60 % reprend 10 pays du Top 20, soit 3 de moins qu’au premier trimestre 2013. Il s’agit du Viet Nam et de pays de l’ex-URSS dont l’Arménie (53,9 %), la Russie (52,9 %), le Kazakhstan (52,8 %), la Moldavie (44,8 %), la Biélorussie (44,7 %) et l’Ukraine (43,9 %).
  3. Groupe à risque. Ce groupe où le risque est compris entre 21 et 40 % reprend 82 pays dont l’Italie (29,2 %), l’Allemagne (33,7 %), la France (28,5 %), le Soudan (28,2 %), l’Espagne (28,4 %), le Qatar (28,2 %), les Etats-Unis (28,6 %), l’Irlande (27 %), l’Angleterre (28,3 %), Les Emirats arabes unis (25,6 %) et les Pays-Bas (21,9 %).
  4. Groupe des pays les plus sûrs en terme de navigation sur Internet.  Au deuxième trimestre 2013, ce groupe reprenait 52 pays où l’indice est compris entre 9 et 21 %. Le pourcentage le plus faible (moins de 20 %) d’utilisateurs victimes d’attaques pendant la navigation sur Internet est enregistré en Afrique où Internet n’est pas encore vraiment développé. Les exceptions sont le Danemark (18,6 %) et le Japon (18,1 %).

 

 
Risque d’infection des ordinateurs des utilisateurs via Internet dans divers pays, deuxième trimestre 2013

En moyenne, 35,2% des ordinateurs des participants au KSN ont été victimes au moins d’une attaque lors de la navigation sur Internet au cours du trimestre. Nous tenons à signaler que la part des ordinateurs attaqués par rapport au 1er trimestre 2013 a reculé de 3,9 %.

Menaces locales

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

Objets découverts sur les ordinateurs

Au deuxième trimestre 2013, nos solutions antivirus ont bloqué 400 604 327 tentatives d’infection locales sur les ordinateurs d’utilisateurs membres du Kaspersky Security Network.

Top 20 des objets découverts sur les ordinateurs Internet

  Nom % d’utilisateurs uniques attaqués*
1 DangerousObject.Multi.Generic 34,47%
2 Trojan.Win32.Generic 28,69%
3 Trojan.Win32.AutoRun.gen 21,18%
4 Virus.Win32.Sality.gen 13,19%
5 Exploit.Win32.CVE-2010-2568.gen 10,97%
6 AdWare.Win32.Bromngr.i 8,89%
7 Trojan.Win32.Starter.lgb 8,03%
8 Worm.Win32.Debris.a 6,53%
9 Virus.Win32.Generic 5,30%
10 Trojan.Script.Generic 5,11%
11 Virus.Win32.Nimnul.a 5,10%
12 Net-Worm.Win32.Kido.ih 5,07%
13 HiddenObject.Multi.Generic 4,79%
14 Net-Worm.Win32.Kido.ir 4,27%
15 Exploit.Java.CVE-2012-1723.gen 3,91%
16 AdWare.Win32.Yotoon.e 3,62%
17 AdWare.JS.Yontoo.a 3,61%
18 DangerousPattern.Multi.Generic 3,60%
19 Trojan.Win32.Starter.lfh 3,52%
20 Trojan.WinLNK.Runner.ea 3,50%

 

Ces statistiques sont les verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.

* Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

Une fois de plus, ce classement est mené par trois verdicts.

Les programmes malveillants DangerousObject.Multi.Generic détectés à l’aide des technologies dans le cloud occupent la première position avec 34,47 %, soit près du double de leur résultat au premier trimestre (18,51 %). Les technologies dans le nuage interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais Kaspersky Lab dispose déjà dans le « nuage » d’informations relatives à l’objet. En général, c’est ainsi que sont détectés les programmes malveillants les plus récents.

Trojan.Win32.Generic (28,69 %) en deuxième position est un verdict obtenu par analyse heuristique lors de la détection proactive d’une multitude de programmes malveillants. Trojan.Win32.AutoRun.gen (21,18%) occupe la troisième position. Ceci désigne les programmes malveillants qui utilisent le lancement automatique.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Les chiffres fournis ci-dessous montrent le taux d’infection moyen des ordinateurs dans un pays ou l’autre. Près d’un ordinateur sur trois (29,9%) des utilisateurs de KSN qui nous ont transmis ces données contenait un fichier malveillant, soit sur le disque dur ou su un disque amovible connecté. Ce chiffre est toutefois en recul de 1,5% par rapport au trimestre précédent.

    %
1 Viet Nam 59,88%
2 Bangladesh 58,66%
3 Népal 54,20%
4 Mongolie 53,54%
5 Afghanistan 51,79%
6 Soudan 51,58%
7 Algérie 50,49%
8 Inde 49,46%
9 Pakistan 49,45%
10 Cambodge 48,82%
11 Laos 48,60%
12 Maldives 47,70%
13 Djibouti 47,07%
14 Irak 46,91%
15 Mauritanie 45,71%
16 Yémen 45,23%
17 Indonésie 44,52%
18 Égypte 44,42%
19 Égypte 43,98%
20 Tunisie 43,95%

 

TOP 20 des pays* selon le niveau d’infection des ordinateurs**, deuxième trimestre 2013

*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.

* *Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Pour le 4e trimestre consécutif, les 20 premières places du classement sont occupées par des pays d’Afrique, du Moyen-Orient et du Sud-Est asiatique. A l’issue du deuxième trimestre, le Viet Nam (59,9 %) occupe la première position. Le Bangladesh, qui menait au premier trimestre, occupe la 2e position avec 58,7 %, soit un recul  de 9,1 % par rapport au trimestre précédent.

Dans le cas des infections locales, nous pouvons également regrouper les pays en fonction du niveau d’infection :

  1. Groupe présentant le niveau d’infection maximum (plus de 60 %) Nous sommes heureux de constater qu’aucun pays ne figure dans cette catégorie à l’issue du deuxième trimestre.
  2. Niveau d’infection élevé (41 à 60 %) : ce groupe reprend 34 pays dont le Viet Nam (59,9 %), le Bangladesh (58,8 %), le Népal (54,2 %), l’Inde (49,5 %) et l’Iran (42,6 %).
  3. Niveau d’infection moyen (21 à 40 %) : 77 pays dont le Liban (40 %), la Chine (36,7 %), le Qatar (34,1 %), la Russie (30,5 %), l’Ukraine (30,1 %), l’Espagne (23,9%), l’Italie (21,2 %) et Chypre (21,6 %).
  4. Niveau d’infection moyen (jusqu’à 21 %) : 33 pays dont la France (19,6 %), la Belgique (17,5 %), les Etats-Unis (17,9 %), la Grande-Bretagne  (17,5 %), l’Australie (17,5 %), l’Allemagne (18,5 %), l’Estonie (15,2 %), les Pays-Bas (14,6 %), la Suède (12,1 %), le Danemark (9,7 %) et le Japon (9,1 %).

 
Risque d’infection locale des ordinateurs dans divers pays, deuxième trimestre 2013

Risque d’infection locale des ordinateurs dans divers pays, deuxième trimestre 2013

Voici le Top 10 des pays les plus sûrs en matière d’infection locale :

  País %
1 Japon 9,01%
2 Danemark 9,72%
3 Finlande 11,83%
4 Suède 12,10%
5 République tchèque 12,78%
6 Martinique 13,94%
7 Norvège 14,22%
8 Irlande 14,47%
9 Pays-Bas 14,55%
10 Slovénie 14,70%

 

Par rapport au premier trimestre 2013, cette liste compte deux nouveaux pays, à savoir la Martinique et la Slovénie qui remplacent la Suisse et la Nouvelle Zélande.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *