Bulletin de Kaspersky sur la sécurité. Spam en 2015

Contenu

Chiffres de l’année

D’après les données de Kaspersky Lab pour 2015 :

  • La part de courrier indésirable (spam) a atteint 55,28 %, soit 11,48 points de pourcentage de moins qu’en 2014.
  • 79 % des messages non sollicités envoyés ne dépassaient pas 2 Ko.
  • 15,2 % de l’ensemble du courrier indésirable mondial provenaient des Etats-Unis.
  • La majeure partie des messages malveillants (19 %) ciblait des utilisateurs installés en Allemagne.
  • 146 692 256 déclenchements du système Anti-Phishing ont été enregistrés.
  • La Russie (17,8 %) domine le classement mondial par nombre de déclenchements (attaques).
  • Le Japon (21,68 %) occupe la tête du classement en fonction du nombre d’utilisateurs uniques victimes d’auteurs d’attaques de phishing.
  • 34,33 % des attaques de phishing ont touché des utilisateurs de sites d’entités financières (banques, systèmes de paiement, magasins en ligne).

Nouvelles zones de domaines dans le courrier indésirable

Au tout début de l’année, nous avions déjà remarqué une augmentation sensible du nombre de nouveaux domaines de premier niveau utilisés dans les diffusions massives. Cette situation s’expliquait par l’intérêt des spammeurs pour le programme New gTLD lancé en 2014. Ce programme poursuivait l’objectif suivant : proposer une diversité de noms de domaines aux communautés et aux organisations en fonction de leur type d’activité. Les utilisateurs d’Internet ont embrassé les nouvelles possibilités commerciales offertes par le programme New gTLD et l’enregistrement de nouveaux noms de domaines s’est vite accéléré.

Toutefois, la diffusion massive de messages non sollicités les plus divers a rapidement débuté dans les nouvelles zones de domaines, les cybercriminels ont enregistré des nouveaux domaines en masse pour réaliser ces campagnes de spam. Et si au début il existait dans certains cas un lien entre le sujet de la campagne et le nom de la zone de domaine, cette tendance ne s’est pas maintenue au fil de l’année et généralement, le sujet du spam n’avait aucun rapport avec les noms de domaines utilisés. Nous observons néanmoins certains cas où il existe toujours un lien entre les deux. Par exemple, les sites de rencontre sont souvent hébergés dans la zone .date.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

L’absence de lien entre le nom de domaine et l’objet du spam s’explique principalement par le coût des nouveaux domaines. Les individus malintentionnés tentent d’utiliser les options d’hébergement les moins chères car bien souvent, les sites sont utilisés une seule fois dans le cadre d’une campagne en particulier. Pour cette raison, que le domaine soit en rapport ou non avec une activité particulière n’a pas beaucoup d’importance. Le facteur déterminant est le prix du domaine et les remises que les petits enregistreurs sont prêts à octroyer pour les achats en gros.

Méthodes et astuces des diffuseurs de courrier indésirable : particularités de la représentation textuelle des domaines

Nous savons que les spammeurs tentent de conférer un caractère unique à chacun des messages d’une campagne en vue de déjouer les filtres mass-check et de compliquer la tâche des filtres de contenu. Diversifier un texte est une tâche relativement aisée : il suffit de remplacer les lettres d’un mot par des lettres semblables tirées d’un autre alphabet, de changer l’ordre des mots et des phrases, etc. Mais il reste toujours l’adresse du site faisant l’objet de la campagne. La modification de ce dernier n’est guère aisée vu que le destinataire qui clique sur le lien doit arriver sur le site promu car dans le cas contraire la diffusion n’aurait aucun sens. Au cours des dernières années, les spammeurs ont inventé toute une série d’astuces pour éviter la détection des sites par les filtres antispam : redirection depuis des sites compromis, création de liens uniques via des services de réduction d’URL, redirection via des services cloud connus, etc.

En 2015, les spammeurs ont porté leur attention sur l’apparence des enregistrements de domaines et d’IP, en plus des astuces citées ci-dessus. Nous allons examiner ces astuces en détails à l’aide d’exemples tirés de différents messages de spam.

Particularités du protocole IP : différents formats d’enregistrements IP

L’enregistrement standard IPv4 bien connu des utilisateurs d’Internet est un format de notation décimale à point. L’enregistrement se présente sous la forme de 4 valeurs décimales comprises entre 0 et 255 et séparées par un point. Mais il existe d’autres formats d’enregistrement que les navigateurs interpréteront de manière correcte. Il s’agit des enregistrements de numérotation binaire, octale, hexadécimale et du format « dword/Undotted Integer », quand chaque octet de l’IP est d’abord converti au format hexadécimal, puis tous les octets sont enregistrés dans un chiffre dans le même ordre que dans l’adresse IP, puis ce chiffre est converti au système décimal. Et ces formats peuvent également être combinés, chaque partie de l’adresse IP étant notée de manière différente et le navigateur parviendra malgré tout à interpréter correctement cet enregistrement.

Les spammeurs utilisent ces astuces pour écrire les mêmes adresses IP de différentes manières, y compris des combinaisons de différents formats :

  • oct – hex

Bulletin de Kaspersky sur la sécurité. Spam en 2015

  • oct – dword

Bulletin de Kaspersky sur la sécurité. Spam en 2015

  • hex – dword

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Une adresse au format hexadécimal peut être écrite en séparant les numéros par des points ou sans points :

Bulletin de Kaspersky sur la sécurité. Spam en 2015

De plus, dans le format Integer, il est possible d’ajouter 4294967296 (256^4) à un chiffre un nombre indéfini de fois et le résultat sera toujours interprété comme la même adresse IP.

Au format décimal, il est possible d’ajouter 256 un nombre infini de fois à chaque partie de l’adresse IP, pour autant que le résultat soit à 3 chiffres, et l’adresse sera toujours interprétée correctement.

De même, il est possible d’ajouter aux adresses IP en numérotation octale un nombre aléatoire de 0 non significatif sans nuire à la reconnaissance de l’adresse :

Bulletin de Kaspersky sur la sécurité. Spam en 2015

L’adresse peut également contenir un nombre quelconque de barres obliques avant :

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Signalons que même s’il existe quelques cas d’adresses IP enregistrées sous différents formats dans des bibliothèques légitimes, l’utilisation de tout autre format différent de la notation décimale à point dans l’URL (plus particulièrement dans les liens dont on parle ici) est interdite.

Obfuscation de l’adresse IP ou combien de méthodes existe-t-il dans Unicode pour écrire le même chiffre.

Nous avons déjà évoqué à plusieurs reprises l’obfuscation des mots clés dans le spam à l’aide de différentes plages Unicode.

Ces mêmes astuces sont applicables aux enregistrements des adresses IP ou des domaines. S’agissant des adresses IP, les spammeurs ont souvent utilisé en 2015 des chiffres Unicode issus de la « plage complète ». Dans la vie de tous les jours, cette plage est souvent utilisée dans les langues hiéroglyphiques pour que les chiffres et les caractères latins ne soient pas trop petits ou trop étroits par rapport aux hiéroglyphes.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Nous avons vu des chiffres tirés d’une autre plage : des chiffres dans un cercle, avec un trait de soulignement, etc. :

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Obfuscation des domaines

Comme nous l’avons déjà dit plus haut, cette astuce fonctionne également avec les domaines. Qui plus est, le nombre de plages de lettres dans Unicode est supérieur à celui des plages de chiffres. Les spammeurs ont souvent utilisé plusieurs plages dans un même lien (en les changeant de manière aléatoire d’un message à l’autre, ce qui permet d’augmenter la diversité au sein d’une même diffusion).

Pour rendre les liens encore plus uniques, l’obfuscation ne portait pas sur le site de spam en lui-même, mais sur les services de réduction d’URL utilisés pour générer un grand nombre de liens vers le site principal :

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Particularités de l’interprétation de certains symboles dans une URL

Chaque URL contient quelques caractères spéciaux que les spammeurs utilisent également pour brouiller les pistes. Il s’agit principalement du caractère « @ » qui doit normalement être utilisé dans l’autorisation de l’utilisateur sur le site. Un lien de type

http://login:password@domain.com indique que l’utilisateur souhaite accéder au site domain.com à l’aide d’un nom d’utilisateur (login) et d’un mot de passe (password) définis. Si le site ne requiert aucun autorisation, tout ce qui précède « @ » sera tout simplement ignoré. Signalons que nous avons détecté des diffusions où les spammeurs avaient placé le caractère « @ » avant le domaine, ainsi que des diffusions où ce caractère « @ » était précédé d’une séquence aléatoire (ou non) :

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Cette astuce était utilisée pour brouiller les liens et est considérée comme une caractéristique des auteurs d’attaques de phishing. Le fait est que l’individu malintentionné tente de confondre l’utilisateur en lui faisant croire que le lien mène à un site légitime. Ainsi, dans un lien de type http://google.com@spamdomain.com/anything, le domaine interprété par le navigateur sera spamdomain.com, et non pas google.com.

Il faut dire toutefois que pour tromper visuellement les utilisateurs, les spammeurs ont utilisé une autre astuce impliquant les domaines : ils ont enregistré une multitude de domaines commençant par « com-« . Pour les domaines de niveau 3, les liens dans les messages ressemblaient par exemple à ceci :

http://learnmore.com-eurekastep.eu/find

A première vue, on pourrait penser que le domaine principal est learnmore.com alors qu’il s’agit en réalité de com-eurekastep.eu.

En plus de « @ », les spammeurs ont utilisé d’autres caractères pour brouiller les liens :

www.goo&zwj.g&zwjl/0Gsylm

Dans l’exemple ci-dessus, on remarque la séquence « &zwj » dans le domaine goo.gl. Cette séquence était introduite de manière aléatoire dans différentes parties du domaine afin de rendre le lien unique dans chaque message. C’est ce qu’on appelle un liant sans chasse. Il sert à unir des caractères distincts au sein d’un même caractère dans les langues hindoues, ainsi que dans les émoticons. Au sein d’un domaine, il ne revêt aucun sens et sert simplement à brouiller le lien.

Une autre méthode consiste à brouiller le lien à l’aide d’un trait d’union conditionnel (SHY) Dans le langage HTML, le SHY est un caractère spécial invisible dans le texte normal. Quand le mot dans lequel il se trouve tombe en fin de ligne et qu’il n’y a pas assez d’espace pour le mot en entier, la partie qui suit le caractère spécial sera renvoyée à la ligne suivante et un tiret sera ajouté à la première partie. En général, les navigateurs et les clients de messagerie ignorent ce caractère au sein des liens car les spammeurs peuvent l’introduire dans une URL autant de fois qu’ils le souhaitent et n’importe où. Nous avons vu des diffusions où il avait été utilisé plus de 200 fois dans le domaine (en code hexadécimal) :

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Outre le trait d’union conditionnel, d’autres caractères spéciaux peuvent apparaître dans le domaine : indicateur ordinal (º), les exposants 1 et 2 (¹, ²) qui peuvent être interprétés respectivement par certains navigateurs comme la lettre « o » ou les chiffres « 1 » et « 2 ».

Répétition d’un domaine connu

Parmi les autres méthodes originales que nous avons observées dans l’arsenal de brouillage des spammeurs, il faut citer l’utilisation d’un site Internet quelconque connu en qualité de site de redirection. La méthode en elle-même n’a rien de neuf, mais cette fois-ci, les spammeurs n’ont pas lésiné et ont ajouté le même domaine connu à plusieurs reprises :

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Messages sans URL

Il convient de signaler également les cas où les messages ne contenaient pas de liens en tant que tel. Ainsi, dans certains cas l’URL avait été remplacée par un QR Code.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Dans d’autres diffusions, l’utilisateur était invité à saisir une séquence aléatoire dans un moteur de recherche afin d’obtenir l’adresse du site dans les premiers résultats de la recherche.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Événements mondiaux et courrier indésirable

Les jeux olympiques d’été auront lieu en 2016 au Brésil mais déjà en 2015, nous avons observé des notifications relatives à des gains dans une loterie factice consacrée à ce grand événement sportif. Les messages contenaient un fichier PDF en pièce jointe qui annonçait au destinataire que son adresse électronique avait été tirée au sort parmi des millions d’autres. Pour pouvoir obtenir son prix, il devait répondre au message et transmettre les données personnelles sollicitées. Les pièces jointes contenaient non seulement du texte, mais également divers éléments graphiques (logos, photos, etc.). Nous vous rappelons que les messages d’arnaques relatifs à des gains dans une loterie contiennent souvent un long texte et qu’ils sont diffusés sous la forme de pièces jointes pour contourner précisément les filtres antispam.

ksb_spam_2015_fr_17

Au cours de l’année 2015, les escroqueries à la nigériane se sont inspirées des événements politiques en Ukraine, de la guerre en Syrie, des élections présidentielles au Nigeria ou du tremblement de terre au Népal pour convaincre les destinataires de l’authenticité du message. En général, les auteurs des messages sollicitaient de l’aide au niveau de l’investissement d’importantes sommes d’argent dont ils disposaient ou demandaient une aide financière. Les escrocs ont exploité les astuces traditionnelles de ce type d’arnaque pour tromper les destinataires et prendre leur argent.

ksb_spam_2015_fr_18

Les messages en rapport avec la Syrie évoquaient souvent les histoires de réfugiés et de citoyens syriens qui cherchaient l’asile en Europe. Certains messages étaient prétendument envoyés depuis des camps de réfugiés et contenaient des plaintes sur les mauvaises conditions.

Statistiques

Part du courrier indésirable dans le trafic de messagerie

La part du courrier indésirable (spam) dans le trafic de messagerie en 2015 a diminué de 11,48 points de pourcentage pour atteindre 55,28 %.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Part du courrier indésirable dans le trafic de messagerie international en 2015

Le plus remarquable fut la chute enregistrée au cours des premiers mois de l’année 2015 : de 61,86 % en janvier, la part est passée à 53,63 % en avril. Par la suite, la part n’a que très peu changé, de l’ordre de 1 à 2 points de pourcentage.

Pays, source du courrier indésirable

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Pays, source de courrier indésirable en 2015

Le trio de tête des pays source de courrier indésirable a connu de légères modifications en 2015 : la Chine (6,12 %) ne figure plus dans le trio de tête, malgré une progression de 0,59 point de pourcentage de sa part. Sa 3e place est désormais occupée par le Viêt Nam (6,13 %), soit une augmentation de 1,92 point de pourcentage. La Russie conserve sa 2e position (6,15 %) et sa part progresse également (de 0,22 point de pourcentage). Les Etats-Unis (15,16 %), n°1 du classement, perdent quant à eux 1,5 point de pourcentage, mais ils restent loin devant malgré tout.

Comme en 2014, la 4e position revient à l’Allemagne (4,24 %), en progression de 0,24 point de pourcentage. Elle est suivie par l’Ukraine (3,99 %, +0,99 point de pourcentage), la France (3,17 %, +0,62 point de pourcentage), l’Inde (2,96 %), dont la part est restée inchangée en un an, et l’Argentine (2,90 %), en recul de 0,65 point de pourcentage. Le Brésil referme le Top 10 (2,85 %, +0,42 point de pourcentage).

Taille des messages non sollicités

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Taille des messages non sollicités, 2015

En 2015, la part des messages de très petite taille (2 Ko maximum) dans le spam a légèrement augmenté et a atteint en moyenne 79,13 %. La part des messages compris entre 2 et 5 Ko a quant elle reculé et atteint 9,08 %. La tendance à la réduction de la taille des messages s’est maintenue tout au long de l’année 2015.

Pièces jointes malveillantes dans le courrier

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Top 10 des malwares diffusés par courrier en 2015

Le classement annuel global des malwares les plus diffusés par courrier est dominé une fois de plus par Trojan-Spy.HTML.Fraud.gen, de la famille des Trojans qui se présentent sous les traits de fausses pages HTML. Le malware se propage par courrier sous la forme d’une notification importante d’une grande banque, d’un magasin en ligne, d’un éditeur de logiciels, etc. L’utilisateur est invité à saisir des données confidentielles sur la fausse page HTML proposée, ce qui se traduit par l’envoi des données saisies aux cybercriminels.

Trojan-Downloader.HTML.Agent.aax occupe la 2e position, tandis que nous retrouvons Trojan-Downloader.HTML.Meta.as et Trojan-Downloader.HTML.Meta.ay en 9e et 10e positions respectivement. Ces malwares se présentent sous la forme de pages HTML qui contiennent un code qui redirige l’utilisateur vers un site malveillant. L’utilisateur arrive souvent sur une page de phishing ou sur une proposition de téléchargement d’une application prévue pour fonctionner avec le service d’échange automatique d’options binaires. Ces malwares sont propagés via courrier et se distinguent uniquement par le lien utilisé pour la redirection des utilisateurs vers le site des individus malintentionnés.

Le downloader Trojan-Banker.Win32.ChePro.ink est en 3e position. Ce malware se présente sous la forme d’un applet CPL (composant de panneau d’administration) qui va télécharger des Trojans développés pour voler des informations financières confidentielles. Dans la majorité des cas, les malwares de ce type visent les clients de banques établies au Brésil et au Portugal.

Email-Worm.Win32.Mydoom.l, un ver réseau doté d’une fonction de backdoor, est en 4e position. Ce ver se propage en tant que pièce jointe d’un message, via des réseaux d’échange de fichiers ou via les ressources réseau accessibles en écriture. Le ver récolte sur l’ordinateur infecté les adresses vers lesquelles il va se diffuser. Pour envoyer les messages, le ver établit une connexion directe au serveur SMTP du destinataire.

Plus bas dans le classement, nous retrouvons Trojan.JS.Agent.csz et Trojan-Downloader.JS.Agent.hhi qui sont des downloaders programmés en JavaScript. Ces malwares peuvent contenir plusieurs adresses (domaines) que l’ordinateur infecté va contacter l’une après l’autre. Si la connexion s’établit, un fichier EXE malveillant est téléchargé et exécuté dans le dossier temp.

Trojan-PSW.Win32.Fareit.auqm occupe la 8e position. Les malwares de la famille Fareit volent les cookies des navigateurs, les mots de passe des clients FTP et de messagerie, puis envoient ces données au serveur distant des individus malintentionnés.

Familles de malwares

Au niveau des familles de malwares, la famille Upatre a maintenu sa position dominante tout au long de l’année. Dans la majorité des cas, les malwares de cette famille téléchargent sur l’ordinateur des victimes un Trojan-banker connu sous le nom de Dyre/Dyzap/Dyreza.

MSWord.Agent et VBS.Agent occupent les 2e et 3e positions à l’issue de l’année. Pour rappel, les malwares de la famille MSWord.Agent se présentent sous la forme d’un fichier .doc qui contient une macro Visual Basic for Applications (VBA) exécutée à l’ouverture du document. Le malware télécharge et exécute un autre malware, par exemple un représentant de la famille de backdoors Andromeda.VBS.agent qui, comme son nom l’indique, exploite un script VBS intégré. Pour le téléchargement et l’exécution d’un malware différent sur l’ordinateur de l’utilisateur, les malwares de cette famille exploitent la technologie ADOBD.Stream.

La famille Andromeda est en 4e position. Ces malwares permettent aux individus malintentionnés d’administrer les ordinateurs infectés à l’insu des victimes et de les enrôler dans des réseaux de zombies. Pour rappel, la famille Andromeda avait occupé la tête du classement en 2014.

A l’issue de 2015, la famille Zbot occupe la 5e position. Les membres de cette famille peuvent attaquer des serveurs et des ordinateurs de particuliers et ils peuvent également intercepter des données. Bien que ZeuS/Zbot soit en mesure de réaliser diverses actions malveillantes, il intervient généralement dans le vol d’informations d’identification pour l’accès aux services de transactions bancaires par Internet.

Pays, cibles des diffusions de malwares

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Répartition des déclenchements de l’Antivirus Courrier par pays en 2015

Alors qu’au cours des 3 années antérieures, la composition du trio de tête n’avait jamais changé (Etats-Unis, Grande-Bretagne et Allemagne), les spammeurs ont changé de tactique et de cibles en 2015. C’est ainsi que l’Allemagne se retrouve en 1re position (19,06 %, +9,84 points de pourcentage). Le Brésil arrive en 2e position, alors qu’il n’occupait que la 6e place en 2014 (7,64 %, +4,09 points de pourcentage).

La plus grande surprise du 3e trimestre et de l’ensemble de l’année 2015 fut la 3e position de la Russie parmi les pays où le plus grand volume de malwares avait été diffusé (6,30 %, +3,06 points de pourcentage). Pour rappel, à l’issue de l’année 2014, la Russie n’occupait que la 8e position et seulement 3,24 % de malwares avaient été diffusés sur le territoire de ce pays.

On aimerait croire que malgré la tendance des derniers trimestres, le nombre de campagnes malveillantes organisées sur le territoire de la Russie se réduira à zéro. Si on évoque le volume global de pièces jointes malveillantes diffusées par courrier, ce chiffre ne va faire qu’augmenter en 2016 et le vol d’informations confidentielles et les Trojans-Ransom vont occuper les premières positions.

Particularités du courrier indésirable malveillant

En 2015, nous avons observé une explosion de diffusions malveillantes impliquant des virus de macro. C’est au 1er trimestre que nous avons enregistré le plus grand nombre de messages contenant des virus de macro diffusés dans des pièces jointes au format .doc ou .xls qui appartenaient à la catégorie Trojan-Downloader et qui téléchargeaient à leur tour d’autres malwares.

En général, elles se présentaient sous les traits de documents financiers les plus divers : notification d’amende, de virement bancaire, de facture impayée, de paiement, de commande, ainsi que des réclamations, des billets électroniques, etc. Ces messages étaient souvent envoyés au nom d’employés d’organisations ou de sociétés véridiques.

Le danger des virus de macro ne se limite pas à leur accessibilité et à la simplicité de leur création. Un virus de macro est capable d’infecter non seulement le document ouvert à l’origine, mais également la macro globale, commune à tous les documents similaires et, par conséquent, tous les documents de l’utilisateur qui sollicitent cette macro globale. De plus, il ne faut pas oublier que le langage VBA permet une grande diversité dans l’écriture du code malveillant.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

En 2015, des criminels spécialisés dans le spam malveillant ont proposé de diffuser des malwares au sein d’archives au format inhabituel (.cab, .ace, .7z, .z, .gz). Ces formats d’archivage sont relativement anciens et sont utilisés par des experts du développement et de l’installation d’applications tandis que l’utilisateur lambda ne les reconnaît pas, à la différence des archives ZIP et RAR. Une autre différence touche le niveau de compression élevé des fichiers compactés dans ces archives, ce qui permet de réduire la taille des messages et de contourner les filtres antispam. Ces archives malveillantes ont été diffusées sous la forme des pièces jointes les plus diverses (commandes, factures, photographies, etc.) et contenaient différents malwares (Trojan-Downloader.Win32.Cabby, Trojan-Downloader.VBS.Agent.azx, Trojan-Spy.Win32.Zbot.iuk, l’enregistreur de frappe HawkEye Keylogger, etc.). La grande majorité de ces messages était rédigée en anglais, mais il y a eu des diffusions dans d’autres langues également.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

L’année dernière, les cybercriminels ont activement diffusé de faux messages
envoyés depuis des périphériques nomades et des notifications d’applications mobiles
contenant des malwares et des messages publicitaires. La thématique mobile a poursuivi son développement en 2015 : les malwares étaient diffusés sous la forme de fichiers .apk et .jar, des fichiers exécutables d’application compactés pour périphériques mobiles. Les fichiers portant l’extension .jar sont des archives ZIP habituelles qui contiennent une application en Java prévues principalement pour une exécution sur des téléphones mobiles ; les fichiers .apk servent à installer des applications sous Android OS.

Par exemple, des individus malintentionnés ont dissimulé le Trojan de chiffrement mobile SLocker sous les traits d’un fichier de mise à jour de l’application Flash Player. Le malware chiffrait les fichiers présents sur le périphérique Android (images, vidéos et divers documents). Après l’exécution du malware de chiffrement, l’utilisateur voyait un message indiquant le montant de la rançon à payer pour déchiffrer les fichiers. Dans un autre cas, une archive .jar contenait Backdoor.Adwind, écrit en Java. L’avantage principal de ce malware est sa capacité à être installé non seulement sur différents périphériques mobiles, mais également sous les systèmes d’exploitation Windows, Mac et Linux.

Il semblerait que les individus malintentionnés à l’origine de cette diffusion de malwares dans des fichiers prévus pour des périphériques mobiles comptaient sur le fait que les utilisateurs, qui consultaient le courrier électronique sur les appareils mobiles, installeraient la pièce jointe malveillante au départ du message reçu.

Il faut signaler que les périphériques mobiles intéressent de plus en plus chaque année les cybercriminels. Ceci s’explique tout d’abord par l’augmentation constante de l’activité des utilisateurs de périphériques mobiles (clients de messagerie et autres outils d’échange de données) et par le transfert de différents services (par exemple, les opérations financières) sur des plateformes mobiles. Qui plus est, un utilisateur peut avoir plusieurs périphériques mobiles. Vient ensuite l’émergence de différentes applications indispensables aux utilisateurs que les escrocs peuvent exploiter directement (pour diffuser du spam, notamment du spam malveillant) ou indirectement (dans l’objet des messages de phishing). Ainsi, les utilisateurs du client de messagerie WhatsApp sont devenus victimes non seulement du spam publicitaire traditionnel, mais également des auteurs de virus. Les utilisateurs de périphériques mobiles doivent être particulièrement attentifs car l’activité des malwares dans ce domaine ne va faire qu’augmenter.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Phishing

Tendances principales

Sur l’ensemble de l’année 2015, le système Anti-Phishing s’est déclenché 148 395 446 fois sur les ordinateurs des utilisateurs de produits de Kaspersky Lab. Dans 60% (89 947 439) des cas, les déclenchements ont été provoqués par les modules d’identification, et dans 40% (58 448 007), par le module heuristique Internet.

Modes de diffusion du contenu de phishing

Il y a longtemps que les modes de diffusion du contenu de phishing ne se limitent plus aux clients de messagerie. Par exemple, les fenêtres de publicités pop-up sont devenues un moyen très répandu de diffusion des pages de phishing. En 2015, nous avons identifié un grand nombre d’escroqueries qui utilisaient cette astuce assez évidente : les fausses pages s’ouvrent automatiquement dans le navigateur lors de la visite de certains sites, notamment des sites tout à fait légitimes, mais qui affichent des publicités dans des fenêtres contextuelles.

Grâce à cette astuce, des escrocs ont attaqué des clients de banques russes tout au long des 2e et 3e trimestres.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Exemple de page d’escroquerie sur laquelle arrive la victime via une fenêtre de publicité pop-up.

Autres sujets populaires de l’année

Comme nous l’avions déjà signalé au 1 er trimestre, la part de la catégorie « Sociétés de courrier » est assez modeste (0,23%), mais elle a toutefois affiché une légère hausse cette année (+0,04 point de pourcentage) et la société DHL est une habituée du TOP 100 des organisations attaquées par les auteurs d’attaques de phishing.

Les escrocs exploitent ce genre de couverture (message au nom d’une société de courrier) pour diffuser des pièces jointes malveillantes et voler les données personnelles ainsi que l’argent des victimes.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Exemple de message de phishing aux couleurs d’une notification envoyée au nom de FedEx

Les escrocs de cette catégorie sont particulièrement actifs à la veille de fêtes quand un grand nombre de personnes font appel aux services de courrier pour livrer les cadeaux aux amis et aux proches.

Pièges dans le courrier

Cela fait longtemps que les escrocs maîtrisent l’utilisation de fichiers PDF joints à des messages lors de l’organisation d’attaques de phishing. Le plus souvent, ces fichiers se présentent sous la forme d’un formulaire de saisie de données personnelles qui sont envoyées aux escrocs une fois que la victime a cliqué sur le bouton placé dans le fichier. Toutefois, nous avons observé en 2015 une hausse sensible du nombre de messages où le fichier PDF en pièce jointe contenait le texte du message et le lien vers la page de phishing. Le texte dans le corps même du message était réduit à sa plus simple expression pour déjouer les filtres antispam.

Ce genre de piège est utilisé dans les attaques de clients d’organisations issues des catégories les plus diverses. La majorité de ce genre d’attaques en 2015 visait les clients de banques et d’organisations de messagerie.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Exemple de message de phishing Le corps du message ne contient que du texte, présenté comme l’en-tête du message auquel l’exemple indiqué serait une réponse. Le fichier PDF joint au message contient le lien vers une page de phishing.

Nous avons également découvert de nombreux fichiers PDF qui redirigeaient les utilisateurs vers les ressources de phishing à l’aide d’un clic. Les escrocs motivaient les destinataires à cliquer pour pouvoir lire le contenu du fichier.

Bulletin de Kaspersky sur la sécurité. Spam en 2015

Exemple de message de phishing La pièce jointe est un fichier PDF qui redirige l’utilisateur vers des ressources de phishing d’un clic

Répartition géographique des attaques

Top 10 des pays selon la part d’utilisateurs attaqués

Le Japon (21,68 %), en progression de 2,17 points de pourcentage, est le leader en terme de nombre d’utilisateurs uniques attaqués par rapport à l’ensemble des utilisateurs dans ce pays.

ksb_spam_2015_fr_31

Pourcentage d’utilisateurs sur les ordinateur desquels l’Anti-Phishing s’est déclenché, par rapport à l’ensemble des utilisateurs de produits de Kaspersky Lab dans le pays, 2015.

Top 10 des pays selon la part d’utilisateurs attaqués :

Japon 21,68%
Brésil 21,63%
Inde 21,02%
Équateur 20,03%
Mozambique 18,30%
Russie 17,88%
Australie 17,68%
Viêt Nam 17,37%
Canada 17,34%
France 17,11%

Le Brésil, leader de l’année dernière, passe en 2e position (21,63 %, – 5,77 points de pourcentage) et est suivi de l’Inde (21,02 %, -2,06 points de pourcentage) et de l’Equateur (20,03 %, -2,79 points de pourcentage).

Répartition des attaques par pays

Le classement sur la base des déclenchements du système « Anti-Phishing » (sur le total de déclenchements de notre produit dans le monde entier sur un an) par pays est mené par la Russie (17,8 %). Son indice a enregistré une progression de 0,62 point de pourcentage.

ksb_spam_2015_fr_32

Répartition des attaques de phishing par pays, 2015

Derrière la Russie, on retrouve les pays suivants dans le classement selon le nombre de déclenchements sur le territoire du pays : Brésil (8,74 %, +1,71 point de pourcentage), Inde (7,73 %, +0,58 point de pourcentage), Etats-Unis (7,52 %, +0,32 point de pourcentage). L’Italie referme le Top 5 (7,04 %, +1,47 point de pourcentage).

Organisations victimes du phishing

Le classement des catégories des organisations victimes d’attaques de phishing repose sur les déclenchements du module heuristique du système Anti-Phishing sur les ordinateurs des utilisateurs. Ce module détecte toutes les pages qui possèdent du contenu de phishing et auxquelles l’utilisateur a tenté d’accéder via des liens dans des messages ou sur Internet, alors que ces liens ne figurent pas encore dans les bases de Kaspersky Lab.

ksb_spam_2015_fr_33

Répartition des organisations victimes d’attaque de phishing, par catégorie, 2015

Nous remarquons en 2015 une augmentation sensible de la part de déclenchements dans la catégorie « Organisations financières » (34,33 %, +5,59 points de pourcentage) qui regroupe les sous-catégories « Banques », « Systèmes de paiement » et « Magasins en ligne ». Notons également l’augmentation de la part des organisations issues des catégories « Opérateurs de téléphonie et FAI » (5,50 %, +1,4 point de pourcentage) et « Réseaux sociaux et blogs » (16,4 %, +0,63 point de pourcentage).

Top 3 des organisations ciblées par les auteurs d’attaques de phishing

Organisation % de liens de phishing
1 Yahoo! 14,17
2 Facebook 9,51
3 Google 6,8

Yahoo! occupe une fois de plus la tête du trio des organisations ciblées par les auteurs d’attaque de phishing. Toutefois, la part de phishing contre cette organisation a sensiblement diminué : 14,17 % contre 23,3 % en 2014. Nous supposons qu’il s’agit là du résultat de la lutte active de l’organisation contre les faux domaines. Nous avons observé que Yahoo!, à l’instar de nombreuses autres organisations, enregistre de nombreux domaines qui pourraient théoriquement être utilisés par des individus malintentionnés comme dérivés du nom de domaine d’origine.

Conclusion et pronostics

La part du courrier indésirable (spam) dans le trafic de messagerie en 2015 a diminué de 11,48 points de pourcentage pour atteindre 55,28 %. La baisse la plus marquée a été enregistrée au 1er trimestre et à partir d’avril, le pourcentage des modifications enregistrées n’a pas été très élevé. Un tel recul s’explique par l’abandon des flux de spam comme canal de publicité pour les produits et services légitimes au profit de plateformes plus pratiques et légales (réseaux sociaux, services d’achats groupés, etc.) et par le développement de la zone de diffusion « grise » (diffusions destinées à des abonnés volontaires et à des personnes qui n’ont pas marqué leur accord). On peut s’attendre l’année prochaine à la poursuite du recul, même si l’ampleur sera nettement moins importante.

Le nombre de messages malveillants et d’escroquerie va quant à lui augmenter. Il se peut que les individus malintentionnés se tournent à nouveau vers d’anciennes astuces, comme ce fut le cas en 2015 (diffusion massive de virus de macro et pièces jointes au format inhabituel). La dimension mobile peut venir s’ajouter aux pièges à la disposition des escrocs pour diffuser le spam malveillant ou d’escroquerie.

Le nombre de nouveaux domaines créés spécialement par les spammeurs pour des diffusions va continuer à augmenter et il faut s’attendre à une augmentation de l’utilisation des nouvelles zones de domaines dans les ressources de spam.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *