Internet et ses dangers

Comment l’infection de l’ordinateur se produit-elle lors de la navigation sur Internetš? Comment les individus malintentionnés peuvent-ils gagner de l’argent sur le dos des utilisateursš? Cet article va tenter de répondre à ces questions.

Objectif

Au cours des dernières années, la menaces des infections via Internet a augmenté. Ceci s’explique, d’une part, par l’augmentation du nombre d’internautes et de sites et d’autre part, par l’appât du gain chez les individus malintentionnés. À l’heure actuelle, les attaques menées via Internet occupent la tête du classement, tant au niveau de la quantité que de la gravité des attaques. Il suffit de survoler les classements sur les programmes malveillants que nous publions chaque mois pour se rendre compte de la situation suivanteš: le nombre d’attaques sur Internet est énorme et ces attaques ne cessent de se perfectionner. Toutes les menaces les plus complexes de ces derniers temps (ZeuS, Sinowal et TDSS) se propagent précisément via Internet. Il en va de même pour les faux antivirus et les applications de blocage qui sont proposées à intervalle régulier aux utilisateurs. Internet a également été le vecteur choisi pour réaliser une attaque ciblée qui a fait beaucoup parler d’elle, à savoir l’ «Opération Aurora». Et tout ceci n’est que la partie visible de l’iceberg.

L’individu malintentionné qui réalise une attaque via Internet cherche avant tout à charger et à installer un fichier exécutable malveillant sur l’ordinateur de la victime. Bien sûr, il existe des attaques telles que ou CSRF qui ne prévoient pas le téléchargement et l’installation de fichiers exécutables sur les ordinateurs des victimes. Mais l’individu malintentionné qui parvient à prendre les commandes du système infecté a accès à un large éventail de possibilitésš: si l’attaque réussit, il peut accéder aux données de l’utilisateur et aux ressources du système. D’une manière ou d’une autre, l’individu malintentionné peut gagner de l’argent sur le dos des utilisateurs.

Attaque

En général, une attaque se déroule en deux partiesš: passage de l’utilisateur sur la ressource infectée et téléchargement sur son ordinateur du fichier exécutable malveillant.

Les individus malveillants utilisent tous les canaux possibles et imaginables pour attirer les utilisateurs sur les ressources malveillantesš: courrier électronique, messagerie instantanée, réseaux sociaux, moteurs de recherche, publicités… bref, les liens malveillants peuvent se trouver n’importe où. Parfois, l’individu malintentionné n’a même pas besoin de réaliser des actions spéciales pour attirer l’utilisateur. Il lui suffit de compromettre un site légitime qui attirent beaucoup d’internautes. C’est d’ailleurs cette méthode que les individus malintentionnés semblent de plus en plus privilégier.

Une fois que l’utilisateur est arrivé sur une «šmauvaiseš» ressource, il ne reste plus qu’à télécharger le programme malveillant sur son ordinateur et à l’installer. À ce stade, l’individu malintentionné a le choix entre deux optionsš: amener l’utilisateur à réaliser cette opération lui-même ou organiser un téléchargement à la dérobée (drive-by). Le premier scénario fait intervenir les méthodes d’ ingénierie sociale, à savoir des méthodes qui jouent sur la crédulité et l’inexpérience de l’utilisateur. Dans le deuxième cas, il s’agit d’exploiter une vulnérabilité dans une application installée sur l’ordinateur de la victime.

L’illustration suivante représente le type d’attaque via Internet qui prévoit le téléchargement et l’installation de fichiers malveillants.


Schéma d’une attaque via Internet impliquant le téléchargement d’un fichier malveillant exécutable

Examinons en détails comment l’utilisateur peut se retrouver sur un «šmauvaisš» site lors de son utilisation quotidienne d’Internet et infecter son ordinateur.

Courrier indésirable

Le courrier indésirable demeure la méthode préférée des individus malintentionnés pour attirer les utilisateurs sur les pages malveillantes. Le courrier indésirable qui exploite au maximum toutes les possibilités qu’offre l’Internet d’aujourd’hui.

Il y a seulement quelques années de cela, le terme «šcourrier indésirableš» désignait uniquement les messages publicitaires diffusés par courrier électronique. Aujourd’hui, les messages non sollicités sont diffusés par une multitude de canauxš: messagerie instantanée, réseaux sociaux, blogues, forums et même les SMS.

Parfois, le message non sollicité contient un fichier exécutable malveillant ou un lien vers une ressource malveillante. Les individus malintentionnés exploitent beaucoup l’ingénierie sociale pour amener l’utilisateur à cliquer sur le lien et/ou à télécharger et installer le fichier malveillantš: ils remplissent les messages de liens vers des informations d’actualité ou se dissimulent sous les traits de site ou de sociétés connus. En gros, les individus malintentionnés jouent sur les faiblesses humainesš: la peur, la curiosité et la frénésie. Nous n’allons pas nous attarder sur ceci car la majeure partie des exemples de diffusion de programmes malveillants à l’aide de cette méthode a déjà été publiée sur notre site.

Liens et bannières attrayant

Une autre méthode utilisée actuellement pour attirer les utilisateurs vers des ressources malveillantes est l’utilisation de bannières publicitaires ou de liens prometteurs. En général, ces méthodes sont utilisées pour les sites Web à caractère illégal qui diffusent des applications piratées ou du contenu pour adultes.

Prenons un exemple d’attaque de ce genre. Si au mois de mai 2010, vous aviez saisi dans la barre de recherche de Google la demande «štélécharger crack assassin’s creed 2š», vous auriez vu dans la liste des résultats l’adresse d’un site quelconque qui, une fois ouvert, affichait une bannière flottante pour le site «šForex-Bazarš».


Fenêtre qui s’ouvre après l’installation de Trojan-Ransom.Win32.XBlocker

[Ce programme n’est pas un virus. Il ne bloque pas le gestionnaire de tâches, ni aucune autre application sur votre ordinateur.

Si vous souhaitez désinstaller le module tout de suite, envoyez un SMS contenant le texte

4100845162839561

au numéro

3381

Saisissez le code que vous obtiendrez dans le champ ci-dessous

Pour connaître le coût du SMS, rendez-vous sur : smscost.ru

Règles : http://www.vsesuperporn.ru/service_-_tariffs/]

Référencement

Le référencement désigne l’ensemble de mesures complexes adoptées pour améliorer la position d’un site dans la liste des résultats de recherche proposées par un moteur de recherche suite à une requête particulière d’un utilisateur. Dans le monde d’aujourd’hui où les informations abondent, les moteurs de recherche constituent le principal outil pour obtenir l’information requise, par conséquent plus un site quelconque sera facile à trouver, plus les services qu’il propose seront utilisés.

Les techniques de référencement sont nombreuses et elles vont des méthodes légitimes aux méthodes interdites par les moteurs de recherche. Nous allons nous intéresser aux méthodes interdites, à savoir le Spamdexing référencement noir largement utilisé par les individus malintentionné pour promouvoir les ressources malveillantes.

Nous allons expliquer dans les grandes lignes comment les utilisateurs arrivent sur ces sites «šdopésš» et ce que font les individus malintentionnés pour obtenir de tels résultats.

Sur la base de mots clés définis manuellement ou obtenus automatiquement (par exemple, à l’aide de Google Trends), les individus malintentionnés créent des pages Web au contenu pertinent. Cette opération est généralement automatiséeš: des robots interrogent les moteurs de recherche et volent le contenu (par exemple, des extraits de texte) des pages qui occupent le haut du classement pour les résultats de la recherche.

Pour que la page Web créée de la sorte se retrouve dans le haut des résultats d’un moteur de recherche, il faut d’abord forcer le robot du moteur à l’indexer. La méthode la plus simple pour lancer le processus d’indexation et de commencer manuellement, par exemple, via la page Ajouter l’URL de votre site à Google qui permet d’ajouter son site à l’index du moteur de recherche. Pour accélérer la progression dans les résultats de recherche, le lien d’accès à la page peut être diffusé sur des sites déjà connus des moteurs de recherche, par exemple, des forums, des blogs ou des réseaux sociaux. Les liens vers la page cible depuis ces sites augmenteront son poids au moment de l’indexation. De plus, l’amélioration du classement du site peut être réalisée à l’aide de réseaux de zombiesš: les ordinateurs infectés sont utilisés pour réaliser des recherches sur les mots clés définis et le site requis est choisi dans les résultats.

Un script, capable d’identifier l’utilisateur à l’aide du traitement des en-têtes HTTP, est hébergé sur la page Web créée. S’il s’agit d’un robot, on lui montrera une page dont le contenu est pertinent pour certains mots clés. Par conséquent, la page progressera dans la liste des résultats proposés à l’utilisateur. S’il s’agit d’un utilisateur qui a trouvé la page à l’aide du moteur de recherche, il sera redirigé vers le site malveillant.

Exemple de dopage d’un site malveillant

Les modes d’infection décrits ci-dessus peuvent se concrétiser uniquement si l’utilisateur accepte de télécharger l’application. Dans la plupart des cas, un tel comportement sera le fruit du manque d’expérience ou d’attention. Les faiblesses de la nature humaine jouent un rôle important également. Par exemple, la fenêtre qui signale que l’ordinateur est infecté suscite la peur et l’utilisateur inexpérimenté cherche à cliquer le plus vite possible sur le bouton «šSupprimer toutes les menacesš». Tandis que la fenêtre qui propose de télécharger la «šmise à jour pour Adobe Flash Playerš» ou le «šcodec manquantš» n’éveille aucun soupçon car elle ressemble beaucoup à une fenêtre «šofficielleš» et il est déjà arrivé à plusieurs reprises que l’utilisateur clique sur «šTéléchargerš» en cas de mise à jour réelle.

Ressources légitimes infectées

L’autre méthode de diffusion des programmes malveillants à l’aide de téléchargements à la dérobée gagne en popularité. Lors d’une attaque par téléchargement à la dérobée, l’ordinateur est infecté à l’insu de l’utilisateur et sans son intervention. La majeure partie des attaques par téléchargement à la dérobée implique des ressources légitimes infectées.

L’infection de ressources légitimes est peut-être un des problèmes actuels les plus graves sur Internet. Les sites d’informations regorgent de titre du genre «Mass hack plants malware on thousands of webpages», «WordPress Security Issues Lead To Mass Hacking. Is Your BlogšNext?» ou «Lenovo Support Website Infects Visitors with Trojan». Kaspersky Lab découvre chaque jour des milliers de ressources infectées d’où un code malveillant est téléchargé sans que l’utilisateur ne s’en rende compte. C’est ce qu’on appelle une attaque par téléchargement à la dérobée et nous les avons présentées en détail dans l’article intitulé «Téléchargement à la dérobée. Internet pris d’assaut».

Dans les attaques par téléchargement à la dérobée, il n’est pas nécessaire de penser aux méthodes à déployer pour attirer l’utilisateur sur la page malveillante. Il y vient de lui-même pendant la navigation. Par exemple, le site que l’utilisateur visite chaque jour pour lire des informations ou acheter un article quelconque peut être infecté.

L’infection du site se déroule en général de deux manièresš: via une vulnérabilité sur la ressource cible (par exemple, injection de code SQL) ou grâce aux données d’accès confidentielles au site volées au préalable. L’infection la plus simple repose sur une balise cachée, ajoutée à la page source. La balise iframe contient le lien vers la ressource malveillante vers laquelle l’utilisateur sera redirigé automatiquement lorsqu’il visitera le site Web infecté.

La ressource malveillante contient un code d’exploitation ou un ensemble de codes d’exploitation qui, si l’utilisateur possède l’application vulnérable correspondante, s’activeront pour télécharger et exécuter le fichier exécutable malveillant.

Le schéma globale de l’attaque est illustré ci-après (sourceš: Google).


Schéma général d’une attaque par téléchargement à la dérobée

Sélections de codes d’exploitation

Penchons-nous en détail sur une des méthodes d’attaque par téléchargement à la dérobée les plus répandues aujourd’hui, à savoir celle qui repose sur l’utilisation d’une sélection de codes d’exploitation. Une sélection de codes d’exploitation est un ensemble d’applications qui exploitent les vulnérabilités d’une application légitime chez l’utilisateur. On pourrait dire que les codes d’exploitation ouvrent la porte de service via laquelle les programmes malveillants pourront pénétrer sur l’ordinateur. Sachant que l’attaque elle-même se déroule via un navigateur, l’individu malintentionné doit utiliser une vulnérabilité dans un navigateur ou dans un plug-in, voir dans une application auxiliaire téléchargée par le navigateur pour traiter le contenu. L’objectif final de la sélection de codes d’exploitation est de télécharger un fichier exécutable malveillant sur l’ordinateur de l’utilisateur à son insu et de l’exécuter.

Le schéma ci-après représente une sélection typique de plug-ins pour le navigateur Firefox. Les modules mis en évidence sont ceux dont des versions vulnérables ont déjà été utilisés dans le cadre d’attaques contre les utilisateurs. De plus, des vulnérabilités dans Firefox lui-même ont été découvertes et exploitées.

Exemple de sélection de codes d’exploitationš: Crimepack Exploit System