Evolution des menaces informatiques au 2e trimestre 2014

Chiffres du trimestre

  • D’après les données de KSN, au deuxième trimestre 2014, les produits de Kaspersky Lab ont bloqué 995 534 410 attaques malveillantes menées contre des ordinateurs et des appareils mobiles.
  • Les solutions de Kaspersky Lab ont déjoué 354 453 992 attaques organisées depuis divers sites répartis à travers le monde.
  • Notre antivirus Internet a détecté 57 133 492 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).
  • 145 386 473 URL uniques ayant provoqué un déclenchement de l’antivirus Internet ont été recensées.
  • 44% des attaques Internet bloquées par nos produits ont été organisées depuis des ressources malveillantes situées aux Etats-Unis et en Allemagne.
  • Nos solutions antivirus ont détecté près de 528 799 591 attaques de virus sur les ordinateurs des utilisateurs de nos produits. 114 984 065 objets uniques malveillants ou potentiellement indésirables ont été recensés dans ces incidents.
  • Au deuxième trimestre 2014, des programmes bancaires malveillants ont attaqué 927 568 ordinateurs appartenant à des utilisateurs des produits de Kaspersky Lab.
  • Ces ordinateurs ont émis 3 455 530 notifications relatives à des tentatives d’infection par des programmes malveillants financiers.

Aperçu

Attaques ciblées et campagnes de programmes malveillants

« Quelqu’un a empoisonné le trou d’eau »

Nous avions signalé en avril une nouvelle vulnérabilité 0day dans Flash Player qui, d’après nos conclusions, avait été exploitée dans des attaques impliquant la technique du trou d’eau (attaque « watering hole ») depuis un site Internet syrien compromis. Le site (http://jpic.gov.sy), lancé en 2011 par le ministère syrien de la Justice, devait permettre aux citoyens de signaler les violations de la loi. Nous estimons que cette attaque avait été mise au point afin de cibler les dissidents syriens qui se plaignaient du régime.

Nous avons analysé au milieu du mois d’avril deux nouveaux codes d’exploitation SWF (tous deux mis en évidence par les technologies de détection proactive de Kaspersky Lab) qui n’utilisaient aucune vulnérabilité de notre connaissance. La vulnérabilité fut confirmée ultérieurement par Adobe en tant que nouvelle vulnérabilité de type 0day (CVE-2014-0515). Elle se situait dans le module Pixel Bender de traitement des vidéos et des images. Ce module n’est plus pris en charge par Adobe. Tandis que le premier code d’exploitation est relativement standard et capable d’infecter pratiquement n’importe quel ordinateur privé d’une protection, le deuxième est opérationnel uniquement sur les ordinateurs dotés des compléments logiciels Adobe Flash Player 12 ActiveX et Cisco MeetingPlace Express. Les auteurs comptaient sur le fait que les développeurs n’allaient pas repérer la vulnérabilité dans ce composant, espérant ainsi que le code d’exploitation reste actif pendant plus longtemps. Ceci indique que les attaquants ne visaient pas des victimes en masse.

Il semblerait que les victimes étaient redirigées vers les codes d’exploitation à l’aide d’un iframe ou d’un script hébergé sur le site compromis. Au moment de la publication de notre billet relatif à cette vulnérabilité 0day, nous avions enregistrés plus de 30 détections sur les ordinateurs de sept personnes différentes qui résidaient en Syrie.

Nous pensons que cette campagne avait été planifiée minutieusement par des attaquants hautement qualifiés comme en témoigne l’utilisation de codes d’exploitation 0day professionnels pour compromettre une seule ressource.

Les détails techniques relatifs à ces codes d’exploitation sont présentés ici.

Braquage à l’italienne (et à la turc)

Nous avons présenté en juin les résultats de notre enquête sur une attaque menée contre les clients d’une grande banque européenne et qui s’était soldée sur le vol d’un demi-million d’euros en une semaine seulement.

Nous avions identifié les premiers signes de la campagne au mois de janvier suite à la découverte d’un serveur suspect qui hébergeait des journaux en rapport avec des transactions financières frauduleuses. Ces journaux contenaient entre autres les détails des victimes et les montants qui avaient été volés. Une analyse plus approfondie a permis de mettre en évidence d’autres informations comme le nom de la banque ciblée, le système de mules mis en place, les détails opérationnels de l’attaque et le Javascript en rapport avec la partie "gestion" de la campagne. Nous avons alors compris que nous étions face au côté serveur de l’infrastructure d’un cheval de Troie bancaire. Nous avons baptisé le centre de commande "luuuk" en référence à un chemin d’accès dans le volet d’administration utilisé dans le serveur : "/server/adm/luuuk".

La campagne visait les clients d’une seule banque. Bien que nous n’ayons pas été en mesure de mettre la main sur un exemplaire du programme malveillant qui avait infecté les victimes, nous pensons que les criminels ont utilisé un Trojan bancaire qui réalisait des opérations de type "Man-in-the-browser" afin de voler les informations d’identification des victimes à l’aide d’injections Web malveillantes. Sur la base des informations contenues dans certains des journaux, nous pouvons affirmer que le programme malveillant volait en temps réel les noms d’utilisateur, les mots de passe et les codes d’accès à usage unique.

Ce genre d’injection est commun dans toutes les variantes de ZeuS (Citadel, SpyeEye, IceIX, etc.) Nous n’avons pas été en mesure d’identifier le vecteur de l’infection mais nous savons que les Trojans bancaires utilisent un large éventail de méthodes telles que les courriers indésirables (spam) et les attaques par téléchargement à la dérobée. Suite à la publication de notre billet, des chercheurs de Fox-IT inTELL nous ont envoyé des informations qui pourraient être en rapport avec cette campagne. Ces données indiquaient qu’il pouvait exister un lien entre le serveur Luuuk et ZeuSP2P (connu également sous le nom de Murofet), comme nous l’avions soupçonné au début. Nous n’avons toutefois aucune preuve tangible car nous n’avons pas trouvé le code injecté sur le serveur lors de nos analyses.

Les attaquants utilisaient les informations d’identification des victimes afin de vérifier leur solde et de réaliser des transactions malveillantes automatiquement, probablement en arrière-plan d’une session d’utilisation légitime. Ce comportement est cohérent avec un des artefacts malveillants (un serveur VNC) que nous avons détectés et qui étaient associés au serveur malveillant utilisé par les attaquants.

L’argent volé était ensuite transféré automatiquement vers des comptes de mules prédéfinis. Le classement des mules prédéfinies utilisé par les attaquants était très intéressant. Il existait quatre groupes de mules, défini chacun par le montant des sommes que les mules pouvaient recevoir, certainement en fonction du niveau de confiance.

Nous avons identifié 190 victimes au total, la majorité d’entre elles vivant en Italie ou en Turquie. Les montants volés aux victimes étaient compris entre 1 700 et 39 000 euros, pour une somme globale de 500 000 euros.

Les attaquants ont supprimé tous les éléments sensibles le 22 janvier, soit deux jours après le début de notre enquête. Sur la base de l’activité des transactions, nous estimons qu’il s’agit avant tout d’un changement d’infrastructure et non pas d’un démantèlement complet de l’opération. Notre analyse de l’attaque nous permet d’affirmer que les cybercriminels à l’origine de cette campagne sont des professionnels très actifs. Ils ont fait preuve d’une certaine proactivité dans la sécurité des opérations comme en témoigne les changements de tactique ou l’élimination des traces après une détection.

Directement après notre découverte du serveur de commande, nous avons contacté la banque concernée, ainsi que les autorités judiciaires et policières compétentes. Nous avons maintenu le contact avec les parties impliquées et notre enquête sur l’attaque se poursuit.

Un logiciel espion « légal » devient mobile

Nous avons publié en juin les résultats de notre enquête la plus récente sur un logiciel "légitime" appelé Remote Control System (RCS) développé par la société italienne Hacking Team. Ce n’est pas la première fois que nous nous intéressons au logiciel de cette société. Toutefois, l’histoire a connu des développements significatifs depuis notre article antérieur consacré à RCS.

Tout d’abord, nous avons découvert une fonctionnalité qui permet de prendre les empreintes des serveurs de commande de RCS. Quand une requête spéciale est envoyée à un serveur RCS, celui-ci envoie le message d’erreur suivant :

Nous avons été en mesure d’utiliser cette méthode pour balayer l’ensemble de l’espace IPv4, ce qui nous a permis de trouver la totalité des adresses IP des serveurs de commande de RCS à travers le monde. Nous avons recensé 326 victimes au total, la majorité aux Etats-Unis, au Kazakhstan et en Equateur. La liste est reprise ici. Les informations WHOIS ont permis d’identifier plusieurs adresses IP comme étant liées au gouvernement. Bien entendu, nous ne pouvons pas être certains que les serveurs situés dans un pays en particulier sont utilisés par les autorités judiciaires et policières de ce pays, mais cela serait logique : on évite ainsi les difficultés juridiques transfrontalières et le risque de voir les serveurs saisis par d’autres.

Ensuite, nous avons découvert un certain nombre de modules malveillants mobiles pour Android, iOS, Windows Mobile et BlackBerry en provenance de HackingTeam. Tous sont contrôlés à l’aide du même type de configuration, ce qui indique clairement qu’ils appartiennent tous à la même famille. Au risque de ne surprendre personne, nous nous sommes particulièrement intéressés aux modules destinés à Android et iOS en raison de la popularité de ces plates-formes.

Les modules sont installés à l’aide d’agents d’infection qui sont des fichiers exécutables spéciaux pour Windows ou Mac OS exécutés sur des ordinateurs déjà infectés. Le module iOS est compatible uniquement avec les appareils jailbreakés. Cela réduit ses capacités de diffusion, mais la méthode d’infection utilisée par RCS signifie qu’un attaquant peut exécuter un outil pour jailbreaker (par exemple, Evasi0n) depuis un ordinateur infecté auquel le téléphone est connecté, du moins tant que l’appareil n’est pas verrouillé.

Le module iOS permet à l’attaquant d’accéder aux données stockées sur l’appareil, dont le courrier électronique, les contacts, l’historique des appels, les pages Web en cache, d’activer le micro à l’insu de l’utilisateur et de prendre des photos. Il obtient ainsi un contrôle total sur l’ensemble de l’environnement au sein de l’ordinateur de la victime et autour de celui-ci.

Le module Android est protégé par l’obfuscateur DexGuard, ce qui complique son analyse. Nous avons pu toutefois confirmer que ses fonctions sont identiques à celles du module pour iOS et qu’il permet également de détourner les informations des applications suivantes : ‘com.tencent.mm’, ‘com,google,android,gm’, ‘android,calendar’, ‘com,facebook’, ‘jp,naver,line,android’ et ‘com,google.android,talk’.

La liste complète des fonctions est reprise ici.

Ces nouvelles données mettent en évidence la sophistication de ces outils de surveillance. La politique de Kaspersky Lab à leur encontre est très claire. Notre mission est de détecter toute attaque de programme malveillant et d’y remédier, quelle que soit son origine ou son objectif. En ce qui nous concerne, la distinction entre "bon" et "mauvais" programmes malveillants n’a pas lieu d’être ; nous avons diffusé par le passé des avertissements publics portant sur les risques des logiciels espion "légitimes". Il est primordial que ces outils de surveillance ne tombent pas entre les mauvaises mains. C’est la raison pour laquelle le secteur de la sécurité informatique ne peut tolérer aucune exception au moment de détecter les programmes malveillants.

Renaissance de MiniDuke

Nous avons été témoins au début de l’année 2014 de la réactivation de MiniDuke, une campagne de menace persistante avancée qui remonte au début 2013. La campagne originale s’était distinguée pour plusieurs raisons. Elle utilisait une porte dérobée personnalisée écrite dans l’ancien langage de programmation Assembler. L’attaque était gérée à l’aide d’une infrastructure de commande inhabituelle : elle utilisait plusieurs chemins redondants, y compris des comptes Twitter. Les développeurs dissimulaient les versions mises à jour des fichiers exécutables dans des fichiers GIF avant de les transférer.

Parmi les cibles de la nouvelle campagne MiniDuke (baptisée également TinyBaron et CosmicDuke), nous retrouvons des gouvernements, des diplomates, des sociétés énergétiques, militaires et des opérateurs de télécommunication. Ce qui surprend, c’est de voir dans la liste des victimes des personnes actives dans le trafic et la vente de substances illégales comme des stéroïdes et des hormones. Nous n’avons pas pu identifier la raison. Il se peut que la porte dérobée personnalisable soit disponible en tant que "logiciel espion légitime". Mais il se peut tout simplement qu’elle soit disponible sur le marché clandestin et qu’elle ait été achetée par différentes entreprises du secteur pharmaceutique dans le but de s’espionner entre elles.

La campagne cible plusieurs pays dont l’Autriche, la Belgique, la Franche, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne, l’Ukraine et les Etats-Unis.

Un des serveurs que nous avons pu analyser contenait une longue liste de victimes qui remontait à avril 2012. Le serveur contenait 265 identifiants différents, affectés à des victimes issues de 139 adresses IP uniques : les victimes étaient réparties entre la Géorgie, la Russie, les Etats-Unis, le Royaume-Uni, le Kazakhstan, l’Inde, la Biélorussie, Chypre, l’Ukraine et la Lituanie.

D’après nos analyses, les attaquants étendaient leur champ d’opération et balayaient des plages d’adresses IP et de serveurs en Azerbaïdjan, en Ukraine et en Grèce.

Le programme malveillant imite des applications répandues qui sont conçues pour être exécutées en arrière-plan. Ces imitations portent sur les informations relatives au fichier, les icônes et même la taille du fichier. La porte dérobée en elle-même est compilée à l’aide de ‘BotGenStudio’, un cadre personnalisable qui permet aux attaquants d’activer et de désactiver les composants lorsque le bot est construit. Les composants du programme malveillant peuvent être classés selon leur fonction.

(1) Persistance. Le programme malveillant peut démarrer à l’aide de Windows Task Scheduler à une heure précise ou lorsque l’économiseur d’écran est activé.

(2) Reconnaissance. Non seulement le programme malveillant vole des fichiers portant une extension en particulier, mais il récolte également des mots de passe, l’historique, les informations réseau, le carnet d’adresses, les informations affichées à l’écran (capture d’écran toutes les 5 minutes) et autres données sensibles.

Chaque victime reçoit un ID unique, ce qui permet d’envoyer des mises à jour particulières à une victime définie. Le logiciel malveillant est protégé par un loader obfusqué qui consomme beaucoup de ressources de l’unité centrale pendant trois à cinq minutes avant d’exécuter la charge utile (payload). Cela complique l’analyse. Et cela épuise également les ressources dont les logiciels de sécurité ont besoin pour simuler l’exécution du programme malveillant. En plus de son propre obfuscateur, le programme malveillant utilise beaucoup le chiffrement et la compression sur la base des algorithmes RC4 et LZRW. Leur mise en œuvre varie légèrement par rapport aux versions standards. Nous pensons que ceci est le résultat d’une action délibérée pour tromper les chercheurs.

Une des parties les plus complexes au niveau technique de ce programme malveillant se situe au niveau du stockage des données. La configuration interne du programme malveillant est chiffrée, comprimée et sérialisée sous la forme d’une structure complexe semblable à un registre qui contient différents types d’enregistrement dont des chaînes, des entiers et des références internes.

(3) Exfiltration. Le programme malveillant utilise plusieurs méthodes pour transférer les données volées, dont le chargement via FTP et trois types de communication sur la base du protocole HTTP. Lorsqu’un fichier est chargé sur le serveur de commande, il est scindé en petits fragments de 3 Ko chacun qui sont comprimés, chiffrés et placés dans le conteneur qui va être chargé sur le serveur. Si le fichier est volumineux, il peut être réparti en plusieurs centaines de conteneurs différents qui sont tous chargés indépendamment les uns des autres. Il est plus que probable que ces fragments sont analysés, déchiffrés, décompactés, extraits et réassemblés chez l’attaquant. S’il est vrai que la méthode peut être considérée comme lourde, ces couches de traitement supplémentaires garantissent que très peu de chercheurs auront accès aux données originales. Elles offrent également une meilleure résistance aux erreurs de réseau.

À l’instar de n’importe quelle attaque APT, il est virtuellement impossible d’identifier l’auteur. Bien que les attaquants utilisent l’anglais en plusieurs endroits, certains éléments indiquent qu’il ne s’agit pas de leur langue maternelle. Des chaînes que nous avons trouvées dans un bloc de mémoire ajouté au composant malveillant utilisé pour la persistance laissent penser que les auteurs pourraient être russes. Il en va de même du Codepage 1251 utilisé dans le webshell employé par les attaquants pour compromettre les hôtes de commande. Ce code sert généralement à restituer des caractères cyrilliques. Le même webshell avait été observé dans les opérations d’une autre APT, à savoir Turla, Snake ou Uroburos).

Fraudes en ligne : la Coupe (du monde) déborde

Les fraudeurs sont en permanence à la recherche de nouvelles occasions pour gagner de l’argent sur le dos de grands événements sportifs et la Coupe du monde de la FIFA n’échappe pas à la règle. Dans les semaines qui ont précédé le coup d’envoi du tournoi, nous avons exposé les différentes méthodes adoptées par les escrocs pour profiter des visiteurs insouciants venus au Brésil pour assister à l’événement.

Une des méthodes évidentes est celle qui consiste à obtenir de l’argent via des attaques de phishing. Dans la majorité des cas, les auteurs d’attaques de phishing compromettent un site légitime et y placent leur page. Mais les auteurs d’attaques de phishing brésiliens ont déployés des efforts supplémentaires afin d’organiser des attaques qui sont très difficiles à détecter pour le commun des mortels. Ils ont enregistré des noms de domaines portant le nom de marques locales bien connues dont des sociétés de carte de crédit, des banques ou des magasins en ligne. Mais ils ne se sont pas arrêtés là. Non seulement le design des sites était très professionnel, mais ceux-ci bénéficiaient d’une couche de légitimité supplémentaire grâce à l’achat de certificats SSL auprès d’autorités de certifications telles que Comodo, EssentialSSL, Starfield, Register.com et d’autres. Il est évident qu’un site doté d’un certificat SSL "légitime" va tromper les plus prudents des consommateurs.

Les auteurs d’attaques de phishing profitent également de la simplicité avec laquelle il est possible d’acheter des certificats dans le but de diffuser des programmes malveillants à signature numérique. Ils commencent par envoyer des messages qui promettent des tickets gratuits pour assister aux matchs de la Coupe du monde. Le lien repris dans ce message mène en réalité vers un cheval de Troie bancaire :

Certains de ces messages électroniques contiennent des détails personnels volés dans des bases de données compromises dans le but de rendre la fausse offre plus crédible.

Ceci étant dit, les cybercriminels brésiliens ne limitent pas leurs activités au phishing. Nous avons également signalé comment ils exploitaient des programmes malveillants sur des POS et des terminaux de paiement par carte bancaire afin de voler les données de la carte de crédit. Ces périphériques sont branchés sur l’ordinateur via un port USB ou série dans le but de communiquer avec le logiciel de transfert électronique de fonds. Les Trojans qu’ils utilisent infectent l’ordinateur et analysent les données transmises via ces ports. Ces terminaux de paiement par carte bancaire sont dotés de fonctionnalités de sécurité qui garantissent l’effacement des clés de sécurité quand quelqu’un tente de manipuler l’appareil. Le code PIN est chiffré au moment même de la saisie, en général à l’aide d’un chiffrement triple DES. Mais les données de la piste 1 (numéro de carte de crédit, date d’expiration, code de service et CVV) et les données publiques de la puce ne sont pas chiffrées sur les anciens appareils dépassés. Elles sont envoyées à l’ordinateur via le port USB ou série en texte brut. Les cybercriminels disposent ainsi de toutes les informations requises pour cloner la carte.

Les cybercriminels profitent également de notre désir de rester connectés en permanence, que ce soit pour partager des photos, mettre à jour notre statut sur un réseau social, lire les dernières nouvelles ou trouver les meilleurs endroits pour manger, dormir ou faire des achats. Malheureusement, les tarifs en itinérance sont parfois très élevés, ce qui amène les consommateurs à chercher les points d’accès Wi-Fi accessibles les plus proches. Cette habitude peut être dangereuse comme nous l’avons expliqué dans notre rapport sur les connexions Wi-Fi au Brésil. Les données transmises via des réseaux Wi-Fi ouverts peuvent être interceptées. Autrement dit, les mots de passe, les codes PIN ou autres informations sensibles peuvent être volés sans difficultés. De plus, il peut arriver que les cybercriminels installent de faux points d’accès et qu’ils les configurent afin de diriger tout le trafic via un hôte qui pourra le contrôler, voire qui fera office de périphérique de type "homme au milieu" capable d’intercepter et de chiffrer le trafic.

Notre rapport mettait également en garde contre les dangers que pouvait constituer la charge d’un périphérique mobile à l’aide d’un port USB installé dans un lieu public. Des chargeurs secteur malveillants peuvent certes recharger la batterie de votre appareil, mais ils peuvent également voler des données à votre insu, voir installer des programmes malveillants.

Il existe un autre moyen de gagner de l’argent sur le dos du public même si celui-ci ne cherche pas à obtenir des billets pour la Coupe du monde. Vu le nombre de spectateurs à travers le monde, souvent dans des fuseaux horaires éloignés, il peut arriver que des fans ne soient pas à proximité d’un téléviseur à l’heure du match. C’est à ce moment qu’ils vont commencer à rechercher des retransmissions en direct. Malheureusement, la recherche de retransmissions en direct sur Internet peut coûter très cher ou entraîner l’infection de l’ordinateur. Et ce parce que certaines des publicités affichées pendant les recherches mènent à du contenu frauduleux ou malveillant. Lorsque l’internaute arrive sur le site, il est invité à télécharger un plug-in pour pouvoir visualiser la retransmission en ligne. Il s’agit en réalité d’un logiciel publicitaire qui ne montre rien et se contente d’épuiser les ressources de votre ordinateur. Les logiciels publicitaires sont à la limite de la cybercriminalité et des logiciels légitimes. Il n’y a donc rien d’étonnant à ce que nos statistiques indiquent une détection continue de ce type de logiciel. Le rapport complet est disponible ici.

Payez le fisc, pas les auteurs d’attaques de phishing

Les auteurs d’attaques de phishing ne se limitent pas aux grands événements sportifs. Il leur arrive de construire leurs campagnes sur des aspects plus concrets de la vie quotidienne. Ainsi, au mois de mai de nombreux Colombiens ont reçu un courrier électronique qui les accusait d’évasion fiscale et de fraude. Pour donner un caractère d’urgence au message, les cybercriminels affirmaient qu’il s’agissait de la troisième notification relative à ce sujet. Le message contenait un lien qui menait à un document Word infecté. Microsoft Office bloque les macros intégrées, si bien que les auteurs de l’attaque fournissaient des instructions sur la marche à suivre pour activer les macros.

Quand la victime clique sur le document, un autre fichier malveillant est téléchargé sur l’ordinateur depuis un serveur compromis en Equateur. Ce programme malveillant a pour but de voler les mots de passe d’accès à des jeux en ligne, à PayPal, à des systèmes de partage de fichiers, aux médias sociaux (dont Facebook et Twitter), aux comptes en banque en ligne, etc.

Susciter la crainte en général et envoyer de faux messages du fisc en particulier sont des méthodes largement employées par les auteurs d’attaques de phishing à travers le monde.

Nous avons publié en avril un rapport détaillé sur le cybercrime financier au départ des données récoltées par le Kaspersky Security Network. Notre rapport sur le phishing est disponible ici.

Histoires de programmes malveillants : chargement précoce ou comment les cybercriminels ont adopté les bootkits

Quand les auteurs de programmes malveillants développent leur code, un des principaux objectifs qu’ils poursuivent est de pouvoir charger le contenu malveillant le plus tôt possible dans le processus de démarrage. Ceci permet d’obtenir le plus grand contrôle possible sur le système. Les bootkits représentent le sommet de la technologie dans ce domaine car ils permettent l’exécution du code malveillant avant le chargement du système d’exploitation. Cette technologie a été mise en œuvre dans de nombreux programmes malveillants. Les exemples les plus connus sont XPAJ et TDSS, mais il en existe de nombreux autres, dont des campagnes ciblées telles que The Mask.

Au fil des ans, les bootkits sont passés du stade de preuve de concept à la distribution en masse, comme nous l’avons expliqué ici. Il s’agit désormais d’un logiciel open source suite à la publication du code source du cheval de Troie bancaire Carberp. Le bootkit Cidox était chargé de la protection de Carberp et son code source a été diffusé en même temps que celui du programme malveillant.

Il est évident que l’évolution des bootkits doit être placée dans le contexte global du jeu du chat et de la souris auquel se livrent les auteurs de programmes malveillants et les spécialistes de la lutte contre ceux-ci. Ils sont en quête permanente de nouvelles méthodes permettant d’éviter la détection ; nous sommes en quête permanente de solutions pour améliorer l’efficacité de la protection de nos clients. Notre rapport se penche également sur les avantages en matière de sécurité offerts par l’UEFI (Unified Extensible Firmware Interface ou Interface micrologicielle extensible unifiée) et sur les manières dont les auteurs de programmes malveillants pourraient la déjouer.

Sécurité sur Internet et fuites de données : Windows XP : la fin du support ne signifie pas la fin de son existence

Microsoft a arrêté le support de Windows XP le 8 avril : cela signifie que les utilisateurs de ce système d’exploitation ne recevront plus de mises à jour de sécurité, de correctifs urgents sans rapport avec la sécurité, d’assistance technique gratuite ou payante ou de mises à jour du contenu technique en ligne. Malheureusement, le nombre d’utilisateurs de Windows XP demeure encore élevé. Les données dont nous disposons depuis le 8 avril indiquent qu’environ 18 pour cent des infections touchent des ordinateurs tournant sous Windows XP. Cela représente un nombre important d’utilisateurs exposés aux attaques vu que plus aucun correctif de sécurité n’est fourni : en d’autres termes, toute nouvelle vulnérabilité découverte depuis ce jour est en réalité une vulnérabilité 0day, à savoir une vulnérabilité pour laquelle aucun correctif ne sera proposé.

Ce problème va s’aggraver lorsque les éditeurs d’applications vont arrêter de développer des mises à jour pour les versions sous Windows XP. Chaque application sans correctif deviendra un point faible supplémentaire qui augmentera le risque d’attaque. Ce processus a déjà débuté en réalité : la version la plus récente de Java n’est pas compatible avec Windows XP.

L’installation d’un système d’exploitation plus récent semble être une solution logique dans ce cas. Cependant, même si Microsoft avait annoncé cette mesure depuis bien longtemps, on peut comprendre que la migration vers un nouveau système d’exploitation puisse poser des problèmes à certaines entreprises. Outre le coût du nouveau système, il faut également compter les investissements en nouveau matériel, voire le remplacement de cette application développée spécialement pour l’activité de l’entreprise et qui n’est pas compatible avec un système d’exploitation plus récent. Il n’est dès lors pas étonnant que certaines entreprises décident de payer pour continuer à profiter du support de XP.

Si vous ne migrez pas maintenant, pouvez-vous garantir votre sécurité ? Votre logiciel antivirus vous offrira-t-il une protection ?

Il ne fait aucun doute que le logiciel antivirus vous protègera. Mais cela est vrai uniquement si par "antivirus" nous désignons une solution de sécurité sur Internet complète qui intègre des technologies proactives afin de vous protéger contre les menaces inconnues et qui est en mesure de vous protéger contre l’utilisation de codes d’exploitation. Un logiciel antivirus de base qui repose sur la détection de programmes malveillants connus à l’aide de signatures ne suffira pas. Il ne faut pas oublier non plus que les éditeurs de logiciels de sécurité informatique vont continuer à développer leurs technologies et il se peut que certaines d’entre elles ne soient plus compatibles avec Windows XP.

Vous pourriez considérer cette option en tant que solution intermédiaire tandis que vous finalisez votre stratégie de migration. Il est plus que probable que les auteurs de programmes malveillants vont cibler Microsoft XP tandis que son volume d’utilisateurs reste élevé car un système d’exploitation privé de correctifs offrent de bien meilleures opportunités. Chaque ordinateur XP sur un réseau constitue un maillon faible qui peut être exploité dans le cadre d’une attaque ciblée contre l’entreprise. Si les attaquants parviennent à compromettre cet ordinateur, ils auront accès au reste du réseau.

Il est évident que le passage à un système d’exploitation plus récent entraîne des coûts et des désagréments pour les particuliers et les entreprises. Mais le risque potentiel associé à l’utilisation d’un système d’exploitation de moins en moins sûr justifie que ces entreprises et ces particuliers fassent l’effort de migrer.

Menaces sur les appareils mobiles

Chiffres du trimestre

Résultats des détections au 2e trimestre 2014 :

  • 727 790 paquets d’installation ;
  • 65 118 nouveaux programmes malveillants pour appareils mobiles ;
  • 2 033 chevaux de Troie bancaires pour appareils mobiles.

Le nombre total d’objets malveillants pour appareils mobiles détectés a été divisé par 1,7 par rapport au trimestre précédent. Nous pensons que cela est dû au début des vacances. Ainsi, le mois de juin aura été marqué par une réduction du nombre de tentatives d’infection des appareils mobiles par les chevaux de Troie.

Chevaux bancaires pour appareils mobiles

Bien que le nombre total de menaces au 2e trimestre a diminué, nous avons détecté au cours de la période couverte par le rapport 2 033 chevaux de Troie bancaires pour appareils mobiles, soit 1,7 fois plus qu’au trimestre précédent. Depuis le début de l’année 2014, le nombre de Trojans bancaires a presque quadruplé tandis qu’il a été multiplié par 14,5 fois si on le compare au chiffre d’il y a un an (juin 2013).


Nombre de Trojans bancaires pour appareils mobiles détectés

Cette hausse s’explique par deux facteurs :

  1. l’intérêt des cybercriminels pour les butins importants ;
  2. la résistance active des éditeurs de logiciels antivirus.

Il faut signaler également que la répartition géographique des infections par chevaux de Troie pour appareils mobiles a changé.


Répartition géographique des menaces bancaires pour appareils mobiles au premier trimestre 2014

Top 10 des pays attaqués par des Trojans bancaires :

  Pays Nombre d’attaques % de l’ensemble des attaques
1 Russie 13800 91,7%
2 États-Unis 792 5,3%
3 Ukraine 136 0,9%
4 Italie 83 0,6%
5 Biélorussie 68 0,5%
6 Corée, République de 30 0,2%
7 Kazakhstan 25 0,2%
8 Chine 19 0,1%
9 Royaume-Uni 17 0,1%
10 Allemagne 12 0,1%

La première place du classement est occupée une fois de plus par la Russie et en deuxième position, loin devant les autres pays, nous retrouvons les Etats-Unis. Le Kazakhstan, qui était en 2e position au 1er trimestre, a reculé jusque la 7e.

Nouveautés des auteurs de virus

Premier programme malveillant de chiffrement pour appareils mobiles

Vers le milieu du mois de mai, un membre d’un forum de créateurs de virus a publié une annonce pour la vente d’un Trojan de chiffrement unique sous Android pour 5 000 USD. Le 18 mai, nous avons détecté le premier programme malveillant de chiffrement pour appareils mobiles dans la nature. Kaspersky Lab a nommé ce programme Trojan-Ransom.AndroidOS.Pletor.a.

Une fois exécuté, le Trojan chiffre le contenu de la carte mémoire du smartphone à l’aide d’un algorithme de chiffrement AES, principalement les fichiers média et les documents. Directement après le début du chiffrement, Pletor affiche le message relatif au paiement de la rançon. Le paiement peut être réalisé via les systèmes QIWI VISA WALLET ou MoneXy ou via un virement traditionnel sur un numéro de téléphone.

À la fin du 2e trimestre, nous avions détecté plus de 47 versions du Trojan. Elles contiennent toutes une clé qui permet de déchiffrer tous les fichiers.

Pour communiquer avec les individus malintentionnés, une des versions du cheval de Troie utilise le réseau TOR, tandis que les autres communiquent via HTTP et SMS. Les chevaux de Troie du 2e groupe affichent dans la fenêtre du message de rançon une vidéo de la victime, filmée à l’aide de la caméra frontale du smartphone et retransmise en direct.

Signalons que les auteurs de virus utilisent les mêmes astuces d’ingénierie sociale que les auteurs des premiers programmes malveillants de chiffrement sous Windows : l’utilisateur apprend que son téléphone a été bloqué suite à une prétendue consultation de contenu pornographique et que toutes les images et vidéos stockées sur le smartphone ont été "transférées pour examen". De plus, les escrocs menacent la victime de rendre toutes les données publiques en cas de non-paiement de l’amende.

Pletor vise particulièrement les habitants de la Russie et d’Ukraine : les messages sont rédigés en russe et le paiement de la rançon doit être réalisé en roubles ou hryvnia (somme équivalente à 300 euros environ). Nous avons toutefois détecté des infections causées par ce programme malveillant dans 13 pays, principalement de l’espace ex-soviétique.

Evolution des programmes de blocage

Du point de vue des techniques d’attaque, nous avons observé une tendance claire de développement des programmes de blocage. Ici aussi, les cybercriminels utilisent les tactiques qui visent à effrayer les victimes, comme les auteurs de programmes malveillants pour Windows avant eux.

La découverte de la première modification du programme malveillant Svpeng dotée de fonctions de Trojan d’escroquerie remonte au début de l’année 2014. Ce Trojan bloquait le fonctionnement du téléphone en prétextant la consultation d’images à caractère pédopornographique par la victime. Pour débloquer l’appareil mobile, les individus malintentionnés exigeaient le paiement d’une "amende" de 500 dollars américains.

Nous avons identifié au début du mois de juin une nouvelle modification de Svpeng qui ciblait principalement les utilisateurs établis aux Etats-Unis. Mais le programme malveillant s’en prenait également à des utilisateurs en Grande-Bretagne, en Suisse, en Allemagne, en Inde et en Russie.

Cette version de Svpeng bloque complètement l’appareil mobile, si bien que l’utilisateur n’est même plus en mesure d’accéder au menu d’arrêt/de redémarrage de l’appareil. La seule méthode disponible pour arrêter le smartphone dans ce cas est une longue pression sur le bouton de mise hors tension, mais le cheval de Troie s’active à nouveau dès que le système a été relancé.

Les individus malintentionnés ont utilisé dans ce cas des astuces d’ingénierie sociale qui ont fait leur preuve. Une fois lancé, le cheval de Troie imite le processus d’analyse du téléphone et indique que du contenu interdit aurait été détecté. Afin d’impressionner d’avantage la victime, la fenêtre du message relative à la "découverte" est aux couleurs du FIB.

Le cheval de Troie verrouille le téléphone et exige le paiement d’une somme de 200 dollars pour le déverrouiller. Les créateurs du cheval de Troie exigent un paiement réalisé à l’aide de bons MoneyPak.

Signalons que Svpeng affiche dans cette fenêtre une photo de la victime prise avec l’appareil photo frontal, ce qui évoque le comportement de Trojan-Ransom.AndroidOS.Pletor.a, cité ci-dessus. La seule différence étant que Pletor transmet une vidéo.

À la fin du 2e trimestre, nous avions identifié 64 versions de Svpeng. Chacune de ces versions mentionne la classe Cryptor, mais nous n’avons pas observé cette utilisation. Il se peut que les individus malintentionnés tentent à l’avenir de chiffrer également les données de l’utilisateur et d’exiger le paiement d’une rançon pour le déchiffrement.

Pas seulement sur Android

La plate-forme Android demeure la cible principale des cybercriminels. 99 % des nouveaux programmes malveillants pour appareils mobiles sont destinés à ce système d’exploitation.

Il ne faut toutefois pas penser que les autres systèmes d’exploitation mobiles sont à l’abri. Ainsi, au 2e trimestre 2014, nous avons vu de nouveaux objets malveillants pour la plateforme Apple iOS (mais uniquement pour les périphériques jailbreakés). Outre un programme malveillant, les cybercriminels exploitaient les fonctions de protection d’iOS à des fins malveillantes. L’attaque contre Apple ID permettait aux individus malintentionnés de bloquer complètement l’appareil et d’exiger le paiement d’une somme d’argent définie pour le restaurer.

L’autre mauvaise nouvelle fut une divulgation d’Hacking Team qui permit de conclure que son arsenal contenait des modules d’attaques contre les propriétaires de périphériques iOS jailbreakés.

La plateforme Windows Phone n’a pas été ignorée. Les auteurs de virus n’ont rien inventé de spécial sur le plan technique et se sont contentés de présenter de fausses applications sans aucune fonction dans le magasin officiel. Notre marque a été exploitée : les escrocs ont utilisé le logo et le nom Kaspersky Lab.

Ceci a permis de mettre en évidence deux vulnérabilités dans le magasin Windows Phone Store :

  1. absence de vérification de la marque ;
  2. absence de vérification des fonctions.

De fausses applications de cet éditeur avaient déjà été diffusées via Google Play.

Menaces sur les appareils mobiles : statistiques

Au 2e trimestre 2014, le nombre d’objets malveillants pour appareils mobiles détectés a été divisé par 1,7 par rapport au 1er trimestre : 727 790 paquets d’installation, 65 118 nouveaux programmes malveillants pour appareils mobiles, 2 033 chevaux de Troie bancaires pour appareils mobiles. Il est probable que cette réduction de l’activité des individus malintentionnés soit liée au début des vacances.

Répartition par type de programmes malveillants pour appareils mobiles


Répartition par type de programmes malveillants pour appareils mobiles, 2e trimestre 2014

Les logiciels publicitaires potentiellement indésirables dominent le classement des objets malveillants pour appareils mobiles détectés au 2e trimestre avec 27 %. Les Trojans par SMS maintiennent leur position (22 %). Si les indices de ces deux types de programmes malveillants n’ont pratiquement pas changé, la catégorie Risktool est quant à elle passée de la 5e à la 3e position en 3 mois : la part de cette catégorie dans le flux de programmes malveillants pour appareils mobiles détectés est passée de 8,6 à 18 %. Il s’agit d’applications légitimes qui pourraient présenter un danger pour les utilisateurs. En effet, une utilisation maladroite par l’utilisateur ou une exploitation par un individu malintentionné pourrait provoquer des pertes financières.

Top 20 des programmes malveillants pour appareils mobiles

  Nom % d’attaques
1 Trojan-SMS.AndroidOS.Stealer.a 25,42%
2 RiskTool.AndroidOS.SMSreg.gc 6,37%
3 RiskTool.AndroidOS.SMSreg.hg 4,82%
4 Trojan-SMS.AndroidOS.FakeInst.a 4,57%
5 Trojan-SMS.AndroidOS.Agent.ao 3,39%
6 AdWare.AndroidOS.Viser.a 3,27%
7 Trojan-SMS.AndroidOS.OpFake.a 2,89%
8 Trojan-SMS.AndroidOS.Erop.a 2,76%
9 Trojan-SMS.AndroidOS.FakeInst.ff 2,76%
10 Trojan-SMS.AndroidOS.Agent.en 2,51%
11 Trojan-SMS.AndroidOS.Agent.ev 2,43%
12 RiskTool.AndroidOS.SMSreg.eh 2,41%
13 Trojan-SMS.AndroidOS.Opfake.bw 1,96%
14 Trojan-SMS.AndroidOS.OpFake.bo 1,53%
15 RiskTool.AndroidOS.MimobSMS.a 1,48%
16 Trojan-SMS.AndroidOS.Skanik.a 1,35%
17 Trojan-SMS.AndroidOS.Agent.mw 1,33%
18 RiskTool.AndroidOS.SMSreg.ey 1,31%
19 Trojan-SMS.AndroidOS.Agent.ks 1,24%
20 Trojan-SMS.AndroidOS.Agent.ay 1,21%

Les chevaux de Troie par SMS dominent une fois de plus le Top 20 des menaces détectées : ils occupent 15 positions sur l’ensemble du classement.

Sur l’ensemble du 2e trimestre, nous avons observé, sur fond de réduction du nombre d’attaques, une hausse marquée des tentatives d’attaques menées à l’aide de Trojan-SMS.AndroidOS.Stealer.a. Ce programme malveillant a décroché la 1re place du classement avec un indice équivalent à plus de 25 % des attaques. Les individus malintentionnés ont été particulièrement actifs en avril : au cours de ce mois, les tentatives d’infection à l’aide de Stealer ont presque atteint le double des tentatives enregistrées en mai et en mars. Au mois de juin, les tentatives d’infection imputables à ce Trojan étaient 7 fois supérieures au chiffre du concurrent le plus proche.

Répartition géographique des menaces

Carte des tentatives d’infections par des programmes malveillants pour appareils mobiles
(pourcentage de l’ensemble des utilisateurs uniques attaqués)

De légères modifications ont été observées dans la répartition géographique des attaques. L’Allemagne se retrouve en 2e position, tandis que l’Inde ne figure plus dans le Top 10 alors qu’elle avait occupé la 2e position au trimestre antérieur. Le Kazakhstan conserve sa 3e position tandis que l’Ukraine a reculé de la 4e à la 5e position et cède sa place à la Pologne qui elle, a progressé de la 10e à la 4e place.

Top 10 des pays attaqués :

  Pays % d’attaques
1 Russie 46,96%
2 Allemagne 6,08%
3 Kazakhstan 5,41%
4 Pologne 5,02%
5 Ukraine 3,72%
6 Malaisie 2,89%
7 Viet Nam 2,74%
8 France 2,32%
9 Espagne 2,28%
10 Mexique 2,02%

Les utilisateurs ont tendance à installer beaucoup d’applications sur leurs appareils mobiles. Il convient de noter que le pourcentage de programmes malveillants parmi celles-ci varie en fonction des pays.

Top 10 des pays par risque d’infection

  Pays* % de programmes malveillants
1 Viet Nam 2,31%
2 Grèce 1,89%
3 Pologne 1,89%
4 Kazakhstan 1,73%
5 Uzbekistán 1,51%
6 Arménie 1,24%
7 Serbie 1,15%
8 Maroc 1,09%
9 République tchèque 1,03%
10 Roumanie 1,02%

*Dans nos calculs, nous avons exclus les pays où le nombre de téléchargement était inférieur à 100 000

Bien que la Russie occupe la 1re position en termes d’attaques confirmées, ce n’est pas dans ce pays que la probabilité d’être infecté par un programme malveillant pour appareil mobile est la plus grande. A ce niveau, c’est le Viet Nam qui mène : les programmes malveillants représentent 2,31 % de l’ensemble des applications que les utilisateurs ont tenté d’installer.

À titre de comparaison, vous trouverez ci-dessous les indices de risque d’infection de 15 pays de différentes régions :

Pays % de programmes malveillants
Chine 0,94%
France 0,85%
Russie 0,74%
Mexique 0,58%
Espagne 0,55%
Inde 0,41%
Allemagne 0,19%
Royaume-Uni 0,18%
Argentine 0,13%
Brésil 0,12%
Italie 0,11%
États-Unis 0,09%
Pérou 0,07%
Hong Kong 0,06%
Japon 0,02%

En France, 0,85 % des applications qui ont intéressé les utilisateurs étaient malveillantes. En Russie, ce chiffre était de 0,74 % ; 0,19 % en Allemagne ; 0,18 % en Grande-Bretagne ; 0,09 % aux Etats-Unis et seulement 0,02 % au Japon.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN) suite au fonctionnement de divers composants chargés de la protection contre les programmes malveillants. Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des programmes malveillants.

Menaces en ligne dans le secteur bancaire

Evénements marquants du trimestre

Un des événements marquants du deuxième trimestre aura été la publication en avril d’informations relatives à une vulnérabilité dans OpenSSL qui offrait un accès non autorisé aux clés secrètes, aux informations d’identification des utilisateurs et à l’ensemble du contenu qui devait être transmis sous forme chiffrée.

Cette vulnérabilité, baptisée Heartbleed, est exploitée dans la bibliothèque de chiffrement OpenSSL utilisée par différentes applications, dont des applications au sein d’infrastructures bancaires. Les quelques heures écoulées avant la diffusion d’un correctif officiel et la durée de l’installation ont entraîné une fuite de données de paiement de clients de banques et d’informations de valeur dans différents domaines d’activité. Par conséquent, il faut s’attendre, suite à la publication de ces informations et aux fuites survenues, à une augmentation du nombre de transactions frauduleuses. L’incident est un signal d’alarme qui confirme une fois de plus la nécessité de veiller scrupuleusement à la sécurité des données de paiement, aussi bien du côté des organisations financières que des clients.

Un nouveau cheval de Troie bancaire baptisé "Pandemiya" a fait son apparition au deuxième trimestre 2014. Il utilise des techniques de vol d’informations financières caractéristiques de ce genre de programme malveillant, par exemple les injections Web.

Une opération spéciale visant à éliminer le réseau de zombies "ZeuS Gameover" a été lancée au deuxième trimestre. Le FBI a lancé un mandat d’arrêt international à l’encontre du développeur du cheval de Troie bancaire ZeuS.

Les menaces financières n’ont pas ignoré les grands événements de l’actualité comme la Coupe du monde de football organisée au Brésil. Au deuxième trimestre, ce pays arrive en tête du classement des utilisateurs attaqués par des programmes malveillants bancaires. Par exemple, il existe du contenu malveillant qui est diffusé sous la forme d’une publicité inspirée par le principal événement sportif de cet été.

Programmes malveillants bancaires : statistiques

Au deuxième trimestre 2014, les solutions de Kaspersky Lab ont repoussé des tentatives d’infection par des programmes malveillants bancaires sur les ordinateurs de 927 568 utilisateurs. Nous tenons à signaler que cet indice a augmenté de 36,6 % entre avril et mai.


Nombre d’ordinateurs attaqués par des programmes malveillants financiers, T2 2014

Sur l’ensemble du trimestre, les solutions de protection de Kaspersky Lab ont enregistré 3 455 530 notifications relatives à l’activité malveillante d’applications spécialisées dans le vol d’argent via l’accès en ligne aux comptes en banques.

Répartition géographique des attaques


Répartition géographique des attaques de programmes malveillants bancaires, T2 2014
(nombre d’utilisateurs attaqués dans le pays)

Top 10 des pays par nombre d’utilisateurs attaqués :

  Pays Nombre d’utilisateurs
1 Brésil 159 597
2 Russie 50 003
3 Italie 43 938
4 Allemagne 36 102
5 États-Unis 34 539
6 Inde 27 447
7 Royaume-Uni 25 039
8 Autriche 16 307
9 Viet Nam 14 589
10 Algérie 9 337

Le Brésil mène généralement le classement en fonction du nombre d’utilisateurs attaqués. Les individus malintentionnés qui créent des programmes malveillants financiers ont toujours été très actifs dans ce pays. Au cours du deuxième trimestre 2014, les possibilités d’attaques se sont élargies : la Coupe du monde de football 2014 organisée au Brésil s’est traduite par l’arrivée de nombreux supporters qui utilisent les services de transactions bancaires par Internet. Les experts de Kaspersky Lab ont étudié la sécurité des réseaux Wi-Fi et ils ont dressé une liste de recommandations destinées aux utilisateurs qui ne souhaitent pas risquer l’intégrité de leurs données financières au Brésil.

Top 10 des familles de programmes malveillants bancaires

Top 10 des familles de programmes malveillants utilisés dans le cadre d’attaques contre les utilisateurs de services de transactions bancaires par Internet au deuxième trimestre 2014 (sur la base du nombre de notifications sur les tentatives d’infection) :

  Verdict* Nombre d’utilisateurs Nombre de notifications
1 Trojan-Spy.Win32.Zbot 559 988 2 353 816
2 Trojan-Banker.Win32.Lohmys 121 675 378 687
3 Trojan-Banker.Win32.ChePro 97 399 247 467
4 Trojan-Spy.Win32.Spyeyes 35 758 99 303
5 Trojan-Banker.Win32.Agent 31 234 64 496
6 Trojan-Banker.Win32.Banbra 21 604 60 380
7 Trojan-Banker.Win32.Banker 22 497 53 829
8 Trojan-Banker.Win32.Shiotob 13 786 49 274
9 Backdoor.Win32.Clampi 11 763 27 389
10 Backdoor.Win32.Shiz 6 485 17 268

ZeuS (Trojan-Spy.Win32.Zbot) demeure le cheval de Troie bancaire le plus répandu. D’après les analyses de Kaspersky Lab, ce cheval de Troie intervient dans 53 % des attaques menées contre les utilisateurs de services de transactions bancaires par Internet.

Sur les 10 familles de programmes malveillants reprises dans le tableau, 9 utilisent des techniques d’injection de code HTML aléatoire dans la page Internet affichée par le navigateur et d’interception des données de paiement saisies par les utilisateurs dans les formulaires en ligne originaux et factices. Et 4 de ces familles utilisent également l’enregistrement des frappes au clavier en plus de ces deux techniques. Ce qui témoigne du maintien de l’efficacité de cette technique dans le cadre des attaques contre les utilisateurs de services de transactions bancaires par Internet.

Les menaces financières ne se limitent pas aux programmes malveillants bancaires qui attaquent les utilisateurs des services de transactions bancaires par Internet.


Répartition des attaques contre l’argent des utilisateurs, par type de programme malveillant

Outre les Trojans bancaires qui exploitent les techniques de modification des pages HTML dans le navigateur, il existe d’autres techniques de vol de l’argent électronique. L’une d’entre elles est le vol de portefeuilles de Bitcoins. Et les individus malintentionnés n’hésitent pas non plus à exploiter à leurs fins les ressources des victimes afin de générer des cryptodevises : le minage de Bitcoins représente 14% de l’ensemble des attaques financières. Un autre moyen d’accéder à l’argent des utilisateurs consiste à obtenir les données qui permettent d’accéder au compte de la victime sur divers systèmes de paiement ou systèmes de transactions bancaires en ligne grâce à des enregistreurs de frappes.

Applications vulnérables utilisées par les individus malintentionnés

Le classement des applications vulnérables repris ci-après repose sur les données relatives aux codes d’exploitation bloqués par nos produits et utilisés par des individus malintentionnés dans le cadre d’attaques via Internet ou lors de la compromission d’applications locales, y compris sur les appareils mobiles des utilisateurs.


Répartition, par type d’application ciblée, des codes d’exploitation utilisés par les individus malveillants dans les attaques, T2 2014

53% des tentatives d’exploitation de vulnérabilités que nous avons enregistrées portaient sur des vulnérabilités dans des navigateurs. Presque chaque kit d’exploitation intègre un code d’exploitation pour Internet Explorer.

Les codes d’exploitation Java occupent la deuxième position. Les vulnérabilités Java sont exploitées dans des attaques par téléchargement à la dérobée via Internet et de nouveaux codes d’exploitation Java figurent dans une multitude de kits d’exploitation. En 2013, 90,52 % des tentatives d’exploitation de vulnérabilités que nous avions enregistrées portaient sur des vulnérabilités dans Oracle Java. La popularité des codes d’exploitation Java a commencé à chuter en 2014. Au premier trimestre de cette année, les vulnérabilités dans Java avaient attiré 54 % de l’ensemble des tentatives d’exploitation. Ce chiffre est tombé à 29 % au deuxième trimestre. La perte de popularité des codes d’exploitation de ce type est liée au fait qu’aucune nouvelle vulnérabilité dans Java n’a été dévoilée depuis près d’un an.

Les codes d’exploitation pour Adobe Reader occupent la troisième position. Ces vulnérabilités sont également exploitées dans des attaques par téléchargement à la dérobée via Internet et des codes d’exploitation pour PDF figurent dans une multitude de kits d’exploitation.


Répartition des versions du système d’exploitation Windows, T2 2014

Parmi les utilisateurs de nos produits qui ont accepté de participer au KSN, 65,35 % utilisent différentes versions du système d’exploitation Windows 7, tandis que 12,5 % utilisent Windows XP.

Programmes malveillants sur Internet (attaques via Internet)

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger des objets malveillants depuis une page infectée. Les sites malveillants sont des sites créés spécialement par des individus malintentionnés ; les sites infectés peuvent être des sites dont le contenu est fourni par les internautes (par exemple, des forums) ou des ressources légitimes qui ont été compromises.

Top 20 des objets détectés sur Internet

Au deuxième trimestre 2014, notre antivirus Internet a détecté 57 133 492 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).

Parmi tous les objets malveillants impliqués dans ces attaques contre les ordinateurs des utilisateurs via Internet, nous avons identifié les 20 objets les plus actifs. Ils sont responsables de 97% de toutes les attaques sur Internet.

Top 20 des objets détectés sur Internet

  Nom* % de l’ensemble des attaques**
1 Malicious URL 72,94%
2 Trojan.Script.Generic 11,86%
3 Trojan-Downloader.Script.Generic 5,71%
4 Trojan.Script.Iframer 2,08%
5 Adware.Win32.Amonetize.heur 1,00%
6 AdWare.Script.Generic 0,88%
7 AdWare.Win32.Agent.aiyc 0,76%
8 AdWare.Win32.Yotoon.heur 0,25%
9 Trojan.Win32.AntiFW.b 0,23%
10 AdWare.Win32.Agent.allm 0,19%
11 AdWare.Win32.AirAdInstaller.aldw 0,17%
12 Trojan.Win32.Generic 0,15%
13 Trojan-Downloader.Win32.Generic 0,14%
14 Trojan.Win32.Vague.cg 0,11%
15 Trojan.Win32.Invader 0,11%
16 AdWare.Win32.BetterSurf.b 0,10%
17 AdWare.Win32.Lollipop.qp 0,08%
18 Exploit.Script.Blocker 0,08%
19 AdWare.Win32.Lollipop.agzn 0,08%
20 Trojan.JS.Small.aq 0,07%

*Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques.
**Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

En général, le Top 20 contient principalement des verdicts attribués à des objets qui interviennent dans des attaques par téléchargement à la dérobée ou des logiciels publicitaires. Par rapport au trimestre antérieur, le nombre de verdicts associés aux logiciels publicitaires est passé de 9 à 11 dans le Top 20.

Le verdict Trojan.JS.Small.aq occupe la 20e position. Il est attribué à un script qu’une extension malveillante pour des navigateurs insère dans les pages de certains sites afin d’afficher des publicités.

Pays, source d’attaques via Internet : TOP 10

Ces statistiques montrent la répartition par pays des sources des attaques Internet bloquées par l’Antivirus Internet sur les ordinateurs des utilisateurs (pages Internet avec redirection vers des codes d’exploitation, sites avec des codes d’exploitation et autres programmes malveillants, centres d’administration de réseaux de zombies). Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques Internet.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouvent ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Au deuxième trimestre 2014, les solutions de Kaspersky Lab ont repoussé 354 453 992 attaques organisées depuis des ressources Internet de différents pays. 88,3 % des notifications relatives aux attaques Internet bloquées ont été obtenues lors du blocage d’attaques depuis des ressources Internet réparties dans une dizaine de pays. Ceci représente une augmentation de 4,9 % par rapport au trimestre précédent.


Répartition par pays des sources d’attaques Internet, T2 2014

La composition du Top 10 des pays n’a pas changé. Par rapport au trimestre antérieur, l’Allemagne progresse de la 4e à la 1re place, ce qui correspond à une augmentation de sa part de près de 12 %. La Russie quant à elle recule de la 2e à la 4e place, soit une baisse de 2,5 %. Le Canada progresse de la 10e à la 5e position (+6,29 %).

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé combien d’utilisateurs uniques des produits de Kaspersky Lab dans chacun de ces pays ont été confrontés à un déclenchement de l’Antivirus. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

  Pays* % d’utilisateurs uniques**
1 Russie 46,53%
2 Kazakhstan 45,35%
3 Arménie 42,26%
4 Ukraine 41,11%
5 Azerbaïdjan 40,94%
6 Viet Nam 39,59%
7 Biélorussie 37,71%
8 Moldavie 36,65%
9 Mongolie 33,86%
10 Kirghizstan 33,71%
11 Algérie 32,62%
12 Tadjikistan 32,44%
13 Géorgie 31,38%
14 Croatie 29,46%
15 Turquie 29,31%
16 Ouzbékistan 29,20%
17 Qatar 28,76%
18 Tunisie 28,67%
19 Iran 28,35%
20 Espagne 28,05%

Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le Viet Nam a cédé sa place à la Russie au deuxième trimestre. Parmi les nouveautés du classement, citons la Tunisie en 18e position et l’Iran en 19e. La Lituanie et la Grèce ont quitté le classement.

Parmi les pays où la navigation sur Internet présente le moins de risques, citons Singapour (10,4 %), la Suisse (12,8 %), le Japon (13,3 %), la Finlande (16,3 %), la République d’Afrique du sud (16,9 %), l’Equateur (17,1 %), la Norvège (17,5 %), les Pays-Bas (17,5 %), Hong Kong (17,7 %) et l’Argentine (17,9 %).

En moyenne au cours du trimestre, 29,5 % des ordinateurs des Internautes à travers le monde avaient été exposés au moins une fois à une attaque sur Internet.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les objets qui se sont introduit sur les ordinateurs par d’autres moyens qu’Internet, le courrier électronique ou les ports réseau.

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

Au premier trimestre 2014, nos solutions antivirus ont bloqué 528 799 591 attaques contre les ordinateurs des utilisateurs. 114 984 065 objets malveillants ou potentiellement indésirables uniques ont été recensés dans ces incidents.

Top 20 des objets découverts sur les ordinateurs sur les ordinateurs des utilisateurs

  Nom* % d’utilisateurs uniques attaqués**
1 DangerousObject.Multi.Generic 17,69%
2 Trojan.Win32.Generic 15,59%
3 AdWare.Win32.Agent.ahbx 14,81%
4 Adware.Win32.Amonetize.heur 13,31%
5 Trojan.Win32.AutoRun.gen 6,13%
6 Worm.VBS.Dinihou.r 5,95%
7 Virus.Win32.Sality.gen 4,94%
8 AdWare.Win32.BetterSurf.b 4,29%
9 AdWare.Win32.Yotoon.heur 4,01%
10 AdWare.Win32.Agent.aknu 3,64%
11 AdWare.Win32.Agent.aljb 3,57%
12 Worm.Win32.Debris.a 3,29%
13 AdWare.Win32.Skyli.a 2,90%
14 Trojan.Win32.Starter.lgb 2,74%
15 AdWare.Win32.Agent.heur 2,64%
16 AdWare.Win32.Agent.aljt 2,30%
17 Trojan.Win32.AntiFW.b 2,27%
18 AdWare.JS.MultiPlug.c 2,21%
19 Worm.Script.Generic 1,99%
20 Virus.Win32.Nimnul.a 1,89%

*Verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
**Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

En général, ce classement reprend des verdicts attribués à des logiciels publicitaires, des vers propagés via des clés USB et des virus.

La part des virus dans le Top 20 continue à diminuer de manière régulière. Au deuxième trimestre les virus ont reçu les verdicts Virus.Win32.Sality.gen et Virus.Win32.Nimnul.a avec un indice de 6,83 %, à titre de comparaison cette valeur avait atteint 8 % au premier trimestre.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

  Pays % d’utilisateurs uniques*
1 Viet Nam 58,42%
2 Mongolie 55,02%
3 Algérie 52,05%
4 Yémen 51,65%
5 Bangladesh 51,12%
6 Pakistan 50,69%
7 Népal 50,36%
8 Afghanistan 50,06%
9 Irak 49,92%
10 Égypte 49,59%
11 Tunisie 46,75%
12 Syrie 46,29%
13 Arabie saoudite 46,01%
14 Éthiopie 45,94%
15 Iran 45,40%
16 Laos 45,20%
17 Turquie 44,98%
18 Inde 44,73%
19 Cambodge 44,53%
20 Djibouti 44,52%

Ces statistiques reposent sur les verdicts détectés du module Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques. Nous avons également comptabilisé les programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.
*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Les pays d’Afrique, du Moyen-Orient et d’Asie du Sud-Est maintiennent leurs positions dans ce classement. A l’instar du trimestre précédent, nous retrouvons le Viet Nam en tête. La Mongolie conserve sa deuxième position. Le Népal passe de la 3e à la 7e position. L’Arabie Saoudite, l’Ethiopie et la Turquie font leur entrée dans le classement. Le Maroc, Myanmar et le Soudant quittent le classement.

Parmi les pays où le risque d’infection locale est le moins élevé, citons le Japon (11 %), la Suède (13,8 %), le Danemark (15,3 %), la Finlande (16,4 %), Singapour (16,8 %), les Pays-Bas (17,1 %), la République tchèque (18,3 %), la Norvège (19,1 %) et Hong Kong (17,7 %).

En moyenne à travers le monde, des menaces locales ont été enregistrées au moins une fois au cours du deuxième trimestre sur 32, 8% des ordinateurs des utilisateurs.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *