Kaspersky Security Bulletin janvier à juin 2006 : Courrier indésirable au premier semestre 2006

  1. Développement du malware
  2. Autres plateformes Win32. Situation sur le front des programmes malveillants
  3. Attaques Internet – panorama de la période janvier-juin 2006
  4. Programmes malicieux pour appareils nomades : les risques d’infection augmentent
  5. Courrier indésirable au 1er semestre 2006

Ce rapport analyse le volume du courrier indésirable au premier semestre 2006 ainsi que les thèmes utilisés. Il présente les nouvelles astuces adoptées par les spammeurs ainsi que les dernières techniques de diffusion. Nous avançons également des prévisions pour le deuxième semestre. Ce rapport sera utile aussi bien aux spécialistes de la sécurité informatique qu’aux particuliers intéressés par la problématique du courrier indésirable.

Kaspersky Lab reçoit et analyse entre 300 000 et 500 000 messages non sollicités en moyenne par jour. Ce trafic provient de pièges spéciaux mis en place et de prélèvements dans les flux de messages non sollicités envoyés reçus par nos clients et partenaires. Tout le trafic qui entre dans le système est analysé automatiquement. Une partie de ce trafic est également analysée manuellement. Le répertoire unique du courrier indésirable permet d’étudier en détails la répartition thématique et quantitative des messages non sollicités.

Particularité technique de l’envoi de messages non sollicités

Le développement des technologies existantes pour la diffusion du courrier indésirable s’est poursuivi au premier semestre 2006. Le logiciel utilisé par les spammeurs est d’une grande complexité et comprend les éléments suivants :

  • Des virus pour infecter des ordinateurs personnels ;
  • Des moyens distribués pour l’administration du réseau de zombies ;
  • Des outils d’administration à distance des ordinateurs personnels et des serveurs ;
  • Des outils de création automatique de messages sur la base de modèles.

La complexité de ces composants est telle qu’il ne peut plus y avoir de révolution dans la diffusion des messages non sollicités pendant quelques mois. Par contre, nous assistons à l’évolution des méthodes actuelles.

Comme par le passé, les spammeurs diffusent le courrier indésirable à l’aide de :

  • Réseaux de zombies (botnets)
  • De serveurs Web, de vulnérabilités dans les systèmes d’exploitation pour serveur les plus populaires

Réseaux de zombies : jusqu’à 1,5 million d’ordinateurs

La majorité du volume de messages non sollicités est envoyée par l’intermédiaire de réseaux de zombies (botnets). Le nombre de réseaux augmentent et chaque réseau regroupe de plus en plus d’ordinateurs. Mais le record enregistré l’année dernière lorsque la police hollandaise a arrêté les créateurs d’un réseau d’1,5 million d’ordinateurs, n’a pas été battu. Malheureusement, cela ne veut pas dire que ces grands réseaux n’existent pas, mais simplement qu’il n’a pas encore été possible de les identifier et de trouver leurs créateurs.

Les moyens traditionnels d’administration des réseaux de zombies passent petit à petit du protocole IRC au protocole http. Pour les réseaux centralisés (c.-à-d. possédant plusieurs n?uds d’administration où se connectent les autres zombies), le centre d’administration se trouve de plus en plus souvent sur un serveur dédié ‘ allié ‘ . Ce faisant, le serveur dédié trouve une deuxième raison d’être, non plus seulement comme source de courrier indésirable mais comme centre d’administration du réseau de zombies.

Il faut citer également l’apparition de plus en plus fréquente de réseaux de zombies décentralisés où chaque zombie tente de se connecter à un maximum d’autres tandis que les commandes d’administration sont transmises d’ordinateur à ordinateur dans tout le réseau. L’administration de tels réseaux s’opère via n’importe quel ordinateur faisant partie de ce réseau.

Dans leur lutte contre les réseaux de zombies, les fournisseurs d’accès Internet, qui offre l’accès Internet à l’utilisateur final, définissent les limites suivantes pour leurs clients :

  1. Interdiction de l’envoi indirect de messages via un relais de messagerie autre que celui appartenant au fournisseur. Cette mesure est indispensable pour contrôler tout le courrier sortant.
  2. Contrôle du nombre de messages envoyés par unité de temps par un utilisateur. Déconnexion de l’utilisateur ou réduction sensible des possibilités d’envoyer du courrier en cas de dépassement d’un niveau défini.
  3. Filtrage du courrier sortant à l’aide des filtres utilisés pour filtrer le courrier entrant.

Ces mesures permettent de limiter la diffusion du courrier indésirable par les réseaux de zombies ou les grands volumes depuis un même ordinateur. Qui plus est, elles sont parfaitement transparentes pour les utilisateurs traditionnels. En réaction, les spammeurs ont commencé à utiliser plus de réseaux de zombies pour diffuser le courrier indésirable et chacun de ces réseaux envoie un nombre réduit de messages. Parmi les autres modes de diffusion adoptés par les spammeurs, il faut citer l’envoi via le serveur de messagerie d’un fournisseur d’accès. Ces serveurs sont identifiés grâce au balayage du réseau ou grâce à l’analyse des paramètres du client de messagerie d’un utilisateur.

Serveurs Web, vulnérabilités dans les systèmes d’exploitation pour serveur les plus populaires

L’idée qui gouverne l’envoi de courrier indésirable en exploitant des serveurs Web et les vulnérabilités du système d’exploitation pour serveur est identique à celle qui sous-tend l’utilisation de réseaux de zombies : les individus mal intentionnés doivent obliger le serveur à exécuter les opérations qui leur sont utiles. Cependant, la recherche de vulnérabilités ne concerne pas les ordinateurs personnels mais bien les serveurs, tournant souvent sous Unix. Les méthodes d’infection et d’administration diffèrent également quelque peu, tout comme l’utilisation des vulnérabilités identifiées.

L’infection d’un serveur Web se déroule schématiquement de la manière suivante :

  1. L’étude des textes sources d’une application populaire permet d’identifier les erreurs qui autoriseront l’exécution de commandes sur le serveur. En général, la recherche des vulnérabilités a lieu dans l’interprète PHP, dans les moteurs populaires des forums ou dans les blogs.
  2. Grâce aux moteurs de recherche (Google, Yandex, etc.), il est possible de rechercher les n?uds Internet sur lesquels est installé l’application contenant les vulnérabilités.
  3. Les vulnérabilités sont exploitées afin d’installer sur le serveur des scripts qui permettront l’exécution à distance de certaines commandes ou de modifier les données accessibles au serveur Web.

L’accès ainsi obtenu peut servir à l’envoi de courrier indésirable ou à l’exécution d’attaque par DdoS.

L’administrateur de système remarquera tout de suite l’exploitation du serveur à cette fin et il éliminera aussitôt le code malveillant et la vulnérabilité. Un autre détournement de ces serveurs qui est plus discret consiste à intégrer des virus au code html des ressources infectées afin de contaminer le navigateur Internet de l’internaute. Plus la ressource est populaire, plus le nombre d’ordinateurs personnels pouvant devenir des zombies à cause de la vulnérabilité du navigateur est élevé.

Courrier indésirable dans les forums

L’année dernière déjà, nous évoquions les efforts déployés par les spammeurs pour exploiter d’autres canaux de diffusion, en plus du courrier électronique, comme les clients de messagerie instantanée (ICQ, MSN) ou les téléphones portables (SMS, MMS). Ils ne se sont pas arrêtés en si bon chemin. Le nombre de courriers indésirables dans les forums populaires et dans les commentaires des blogs a sensiblement augmenté.

Par le passé, ce type de courrier indésirable ne cherchait pas à être lu par des personnes mais à tromper les moteurs de recherche en augmentant le classement du site grâce au grand nombre de liens pointés vers lui. En général, ce type de courrier indésirable se diffuse via des forums ‘ oubliés ‘ dont l’état n’est plus surveillé par leur créateur.

Au cours des six derniers mois, la part de courrier indésirable à caractère publicitaire destiné à être lu est en augmentation. L’apparence de ces messages non sollicité évoque celle des messages traditionnels sur les forums. Ils se diffusent dans les forums et les blogs les plus visités, souvent en rapport avec les produits ou les services qu’ils vantent.

Courrier indésirable graphique

Le ‘ succès ‘ du premier semestre 2006 est le ‘ courrier indésirable graphique ‘, c’est à dire les messages non sollicités qui présentent l’information n’ont pas dans le corps du message mais dans une image jointe à celui-ci. Le nombre de ces messages ne cessent d’augmenter. Les spammeurs modifient en parallèle l’application pour préparer et diffuser ce courrier indésirable ‘ graphique ‘. Citons les nouveautés suivantes :

  1. Rotation des images sources selon des angles aléatoires.
  2. Découpage de l’image en morceaux et reconstitution à l’aide du langage HTML.
  3. Représentation graphique de lettres individuelles différentes dans chaque modèle d’une même attaque.

Ces nouvelles ‘ astuces ‘ développées par les spammeurs poursuivent le même objectif que les méthodes traditionnelles de contournement des filtres : introduire des ‘ parasites ‘ dans l’image afin que le module de filtrage ne parvienne pas à reconstituer le message non sollicité et identifier les images jointes comme étant identiques sur la base de la somme de contrôle.

Chaque nouveauté impose aux spammeurs de modifier le logiciel qu’ils utilisent. Cela signifie qu’il faut dépenser du temps, de l’argent et des ressources humaines. Autrement dit, si les spammeurs ont commencé à développer leur activité dans ce sens, cela signifie que, à l’heure actuelle, il s’agit de la formule qui déjoue le mieux les dispositifs de protection du courrier.

Pour l’instant, les attaques de courrier indésirable qui exploitent les graphiques sont en anglais et visent principalement les utilisateurs occidentaux. Le plus souvent, ces messages non sollicités graphiques vantent des médicaments, des applications bon marché, des montres suisses ou des tentatives de spéculation boursière.

Le paysage Internet russe a connu une vague d’expériences de courrier indésirable graphique il y a deux ans mais les spammeurs ont arrêté les expériences pour revenir aux technologies et aux productions qu’ils avaient créées en 2004.

Voici quelques exemples de nouveautés ‘ graphiques ‘ du premier semestre 2006.

Deux exemples d’une même attaque de courrier indésirable avec un texte identique.

Image ‘ fragmentée ‘

Voici ce que voit le destinataire :

En réalité, le message se compose de plusieurs parties dont voici un exemple :

Revoici ce message, mais cette fois-ci, les différentes parties ont été mises en évidence :

Représentation graphique de lettres

A vrai dire, il s’agit moins d’une nouveauté que d’une tentative de ressusciter une ancienne astuce ‘ graphique ‘. Cela fait un an et demi que nous n’avions plus vu de tels exemples et c’est la raison pour laquelle nous avons décidé de classer ces tentatives parmi les nouveautés du premier semestre.

Voici le message que voit le destinataire :

Revoici ce texte où les fragments graphiques du texte ont été mis en évidence :

Toutefois, malgré quelques ‘ nouveautés ‘, aucune nouvelle technologie de diffusion du courrier indésirable n’a été identifiée. On observe uniquement un développement des technologies établies.

Quantité de courrier indésirable

Depuis mars 2006, les analystes de Kaspersky Lab remarquent que le courrier indésirable représente une partie considérable du trafic de courrier : le courrier indésirable se maintient à 75-78 % du volume total de messages.


Ventilation quantitative du courrier indésirable en 2006

Il s’agit d’un chiffre important et il est intéressant de remarquer que, d’après les observations des analystes de Kaspersky Lab, ce tableau est identique aussi bien en Russie qu’en Occident.

Par rapport à 2004-2005, la limite inférieure de diffusion normale du courrier indésirable a légèrement augmenté et est passée de 73% à 75%. Le graphique de répartition du courrier indésirable est ‘ stable ‘ et ne montre aucun pic ou aucune chute brutale. Un tel état des choses n’est pas habituel. Ainsi, entre 2003 et 2005, les utilisateurs de l’Internet russe ont connu deux reculs ‘ saisonniers ‘ au niveau du courrier indésirable liés aux fêtes de fin d’année et aux fêtes du 1er mai. Cette année, nous n’observons pas d’accalmie en mai.

On a l’impression d’être arrivé maintenant à une ‘ saturation ‘ des flux de messagerie par le courrier indésirable. Le pourcentage de courrier indésirable s’est stabilisé à un niveau relativement élevé et ces pourcentages ne sont que très peu influencés par les facteurs externes tels que les fêtes régionales.

La ventilation du courrier indésirable au cours du premier semestre 2006 donne les résultats suivants :

  • En janvier, le pourcentage de courrier indésirable atteint le niveau le plus bas (4 et 5 janvier) avec 44% du volume global de messages.
  • On observe ensuite une progression jusqu’au pic de 86,5% en février (14-17 février) ;
  • Quelques sursauts supplémentaires avec des variations entre 63,8 et 81,2 %.
  • Et enfin, stabilisation du pourcentage de courrier indésirable entre 75 et 78%.

Au cours des 4 derniers mois du premier semestre, le pourcentage de courrier indésirable n’a que très peu varié même si on a observé le 13 avril une pointe à 89,7%. A la fin du premier semestre, on a pu observer une croissance progressive du pourcentage et le mois de juin s’est terminé sur un pourcentage de 82,2%, ce qui est atypique. Jusqu’à présent, le milieu de l’été avait toujours été une saison ‘ morte ‘ sur le marché du courrier indésirable publicitaire. Nous verrons au cours des prochains mois si le courrier indésirable reviendra dans la moyenne, à savoir s’il repassera ou non en dessous des 80%.

Sujets des messages non sollicités

Pour le premier semestre 2006, le trio de tête des sujets de courrier indésirable en Russie est constitué de :

  1. Messages présentant une ‘ escroquerie informatique ‘ .
  2. Offres de médicaments ou d’autres services/articles médicaux ou ‘ quasi-médicaux ‘.
  3. Le courrier indésirable ‘ éducatif ‘ : Offre de cours, de séminaires et de formation.

Répartition des sujets du courrier indésirable en Russie 1er semestre 2006

Le pourcentage de courrier indésirable portant sur des ‘ escroqueries informatiques ‘ est à nouveau en augmentation. En 2005, la part moyenne de ce type de courrier indésirable représentait 11%. Cet indice est passé à 18,8% au premier semestre. Pour de plus amples informations, consultez le point ‘ Criminalisation du courrier indésirable ‘.

Certains des messages au sein d’une catégorie se caractérisent par leur constance enviable : ils se répètent et sont régulièrement envoyés à des millions d’adresses.

Voici le Top 3 des diffusions de courrier indésirable les plus importantes en Russie, les plus durables et les plus répétitives :

  1. Offre de Viagra et d’autres moyens d’améliorer les performances sexuelles (l’objet du message comprend une déformation du nom du médicament, par exemple ouxomVjlagra).
  2. Le courrier indésirable à caractère financier : tentative d’influer sur le cours d’une action (objet du message propose des actions, par exemple Stock Promo Mover: SGXI.PK).
  3. Offres de cours, de formation et de séminaires de motivation pour les managers, questions sur la fiscalité et la fiscalité.

Criminalisation du courrier indésirable

La poursuite de la criminalisation du courrier indésirable est confirmée par :

  • La poursuite de l’augmentation des messages appartenant à la catégorie ‘ escroquerie informatique ‘ ;
  • L’émergence de nouvelles escroqueries réalisées à l’aide du courrier indésirable ;
  • Le perfectionnement des types de courrier indésirable connus dans cette catégorie.

Les chiffres confirment la criminalisation du courrier indésirable : au premier semestre 2006, le pourcentage de courrier indésirable à caractère criminel représentait environ 18,8%.


Pourcentage de courrier à caractère criminel, 1er semestre 2006

Le graphique montre clairement que la répartition du courrier indésirable dans l’espace cybernétique russe n’a pas été égale au long du premier semestre 2006. Dans les périodes de pointe, le pourcentage de courrier indésirable à caractère criminel représentait 25% du volume de courrier indésirable total. Ces périodes de pointe duraient de 1 à 3 jours. Le reste du temps, le pourcentage de cette catégorie de courrier indésirable était compris entre 13 et 16%. Une analyse détaillée de cette catégorie en particulier démontre que les cas d’hameçonnage représente près de la moitié des messages appartenant à la catégorie ‘ escroquerie informatique ‘.

Certains types de messages à caractère criminel se retrouvent dans le monde entier. Il s’agit principale de l’hameçonnage, des arnaques nigériennes, du courrier indésirable financier, de l’offre de logiciels piratés, etc. Il existe également des types de courrier indésirable qui sont propres à une région particulière. Ainsi, les combines de blanchiment d’argent sont proposées uniquement aux internautes occidentaux (présentés comme une activité légale par les spammeurs).

Good day, Sir/Madam!

Let me introduce myself: my name is Sergey Rubinshtein and I am a financial analyst in Moscow. My specialization is analysis of Russian economics and financial markets. I frequently perform consulting projects for US financial firms. My American client’s Human Resources Dept manager advised me to find an American resident to serve as an intermediary because it is easier to receive payment this way than filling out all the required paperwork to become a 1099 employee.

That’s why I ask you for help in transferring consulting payments received from the US firms and will gladly compensate you with a percentage of my wages which I expect to be about $2,000 – $4,000 per week. This will become a small but recurring source of income for you for very little effort. Please contact me via e-mail if you are interested and would like to know the details.

Les utilisateurs d’Internet en Russie ont été à leur tour confrontés à une nouveauté vers la fin du premier semestre 2006, à savoir : un message non sollicité invitant le destinataire à envoyer gratuitement, pour une raison quelconque, un SMS vers un numéro payant. Les raisons évoquées sont diverses mais l’objectif des spammeurs est toujours le même : remplir leur compte au détriment des utilisateurs.

Ainsi, les analystes de Kaspersky Lab ont découvert un message non sollicité invitant le destinataire à se désabonner de la liste de diffusion en envoyant un SMS au numéro indiqué dans le message. Les spammeurs affirment que cette ‘ suppression mythique de la liste de diffusion ‘ est gratuite mais en réalité, l’envoi du SMS au numéro utilisé par les spammeurs est facturé entre 0,3 et 5 USD. L’utilisateur crédule perd donc de l’argent et le pourriel continue à remplir sa boîte aux lettres.

Une partie du courrier indésirable à caractère criminel est rédigée dans des langues européennes telles que l’anglais, le français ou l’allemand. Ainsi, les messages vous annonçant que vous avez remporté la loterie sont écrits généralement en anglais, les arnaques nigériennes sont présentées en anglais et en français, les montres et les sacs de contre-façon sont proposés en anglais, etc.

Cela est en partie lié aux différentes réalités de la vie des utilisateurs russes et occidentaux. Il existe des propositions qui ne sont pas encore actuelles pour la Russie. Par exemple, les systèmes bancaires en ligne sont moins développés en Russie par rapport à l’Occident, ce qui explique l’absence de messages en russe liés à l’exécution de transactions ou à la conversion d’actifs en liquide. Quant aux articles de contre-façon, ils sont vendus en Russie à un prix inférieur à celui proposé par les spammeurs occidentaux.

On a relevé des traductions d’exemples populaires de messages non sollicités anglais au cours des années précédentes et du premier semestre 2006. Pour l’instant, il s’agit de tentatives ponctuelles d’adaptation de courrier indésirable au marché russe. Toutefois, si ces messages rencontrent un certain succès, les spammeurs recevront un retour sur leur investissement et de tels messages seront de plus en plus fréquents dans les boîtes aux lettres des utilisateurs russes.

Conclusions

  1. Le pourcentage de courrier indésirable reste élevé : 75-78%. entre 75 et 78%. On a enregistré 82,2 % de messages non sollicités dans le courrier à la fin du mois de juin.
  2. Les messages non sollicités les plus souvent reçus proposent : des escroqueries informatiques, des produits pharmaceutiques (principalement du Viagra et d’autres médicaments identiques), des services de formation.
  3. Un nouveau mode d’escroquerie par courrier indésirable a fait son apparition en Russie. Le message invite le destinataire à envoyer, pour une raison quelconque, un SMS particulier (contenant un mot ou un numéro de code) vers un numéro payant. Le but des spammeurs est de faire venir cet argent sur leurs comptes.
  4. On observe l’évolution des méthodes actuelles de diffusion du courrier indésirable.
  5. Les spammeurs partent à la conquête des forums et des blogs.
  6. Le courrier indésirable graphique est une nouvelle branche des technologies liées au courrier indésirable.
  7. Le volume de courrier indésirable ne va pas diminuer au cours des six prochains mois.
  8. Le caractère criminel du courrier indésirable va se renforcer. Le nombre de courrier indésirable à caractère criminel en langue russe va augmenter.
  9. Les trois principaux thèmes des messages non sollicités vont vraisemblablement rester inchangés au cours des six prochains mois.
  10. Les spammeurs ne vont pas arrêter leur recherche sur d’autres canaux de diffusion.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *